Hvordan overholde reglene om å slette ansattes epostkontoer etter fratreden, og samtidig ikke miste forretningskritisk epost

Når en ansatt slutter, har arbeidsgiveren plikt til å slette epostene og annen elektronisk informasjon som den ansatte har lagret på selskapets datasystemer, PCer, telefoner mv. I dag er mye av den sentrale informasjonen og kommunikasjon for en virksomhet lagret i de ansattes eposter, samt på personlige områder på selskapets nettverk. Hvordan skal et selskap kunne sørge for å ikke miste forretningskritisk informasjon og samtidig overholde reglene om at epost og annen elektronisk lagret informasjon skal slettes når ansatte slutter? 

Problemet: Arbeidsgiveren må slette epostkassen mv. når arbeidstakeren slutter

Etter personopplysningsloven § 28 skal ikke personopplysninger beholdes lenger enn det er nødvendig for formålet med behandlingen av personopplysningen. Personopplysninger som ikke skal behandles lenger skal slettes. Dette gjelder også for personopplysninger om ansatte, og i personopplysningsforskriften § 9-4 er det nærmere regler om hva som skal skje med eposter og annet som er lagret elektronisk når ansatte slutter i et selskap. I bestemmelsen står det: 

Når arbeidsforholdet opphører, skal arbeidstakers e-postkasse mv. avsluttes og innhold som ikke er nødvendig for den daglige driften av virksomheten slettes innen rimelig tid.

Etter denne bestemmelsen skal arbeidsgiveren slette epostkasse samt annen elektronisk lagret informasjon som den ansatte har lagret på selskapets datasystemer, PCer, telefoner og andre steder innen rimelig tid etter arbeidstakeren har sluttet. «Innen rimelig tid» er av Datatilsynet blitt forstått til innen seks måneder etter fratreden. Merk at det ikke kreves at sikkerhetskopier av epostkasse og annet slettes spesielt for den konkrete fratreden – det er tilstrekkelig at dette overskrives etter de etablerte rutiner i selskapet. 

Innhold i epostkassen mv. som er nødvendig for den daglige driften trenger man ikke å slette, men arbeidsgiveren kan ikke gå gjennom dette innholdet for å avgjøre hva som er nødvendig for den daglige driften uten gå gjennomføre et innsyn etter reglene i personopplysningsforskriften kapittel 9. Dette er en meget omstendelig og tungvint prosess, vil i de færreste tilfelle være et aktuelt alternativ for arbeidsgiveren.  

Arbeidsgiveren og arbeidstaker kan heller ikke inngå en avtale som gir arbeidsgiver rett til å unnlate å slette epostkassen, se personopplysningsforskriften § 9-5

Så hva skal arbeidsgiveren gjøre for å kunne beholde eposter og elektroniske filer som er av betydning for den videre driften når en ansatt slutter? 

Løsningene: Den ideelle og den praktiske

Den ideelle løsningen: Skille ut virksomhetsrelatert informasjon

Ideelt sett bør arbeidsgiveren etablere et system som gjør at all virksomhetsrelatert epost og elektronisk informasjon lagres på sentrale områder. Mange bedrifter har etablert slike systemer, som kan lagres på prosjekt, sak, oppdrag mv. Men selv om løsningen er på plass og rutinene er innarbeidet, så vil det være store deler epost og annet som er lagret på arbeidstakerens eget område ved fratreden. 

Arbeidsgivere bør også ha prosedyrer for at de ansatte skal gå gjennom sin epost og informasjon de har lagret elektronisk før fratreden. Dette kan enten gjøres ved at den ansatte henter ut informasjon som er virksomhetsrelatert fra sin epostkasse og fra områder som den ansatte har tilgang til, og lagrer dette på et fellesområde som nevnt, eller et annet område som arbeidsgiver har stilt til disposisjon.

Den praktiske løsningen: Skille ut informasjon som ikke er virksomhetsrelatert

I mange situasjoner (kanskje de fleste) er det vanskelig å hente ut eposter som er av betydning. Å lagre eposter utenfor et epostsystem er en vanskelig prosess dersom det ikke er etablert et eget system for dette, og eposter som ikke lagres i et eget epostsystem, og som lagres f.eks. på filserver eller på intranett, er vanskelig å søke i og vanskelig tilgjengelig.

Et alternativ til den ideelle løsningen som er nevnt ovenfor, er derfor å gjøre det motsatte: Den ansatte skal gå gjennom sin epost, og slette alle eposter som ikke er virksomhetsrelaterte, dvs. eposter som er private og ikke er nødvendig for den daglige driften av virksomheten. I juridisk teori er det antatt at det kan tas vare på mer enn kun det som er nødvendig for den daglig driften, og at også det som «videre drift i virksomheten tilsier at informasjonen fortatt skal lagres» kan også tas vare på. Det sammen gjøres for informasjon som er lagret andre steder. De eposter og den informasjon som da er igjen, er informasjon som er nødvendig for den daglige driften, og dette kan arbeidsgiver beholde. Epostkassen bør da ikke slettes, og kan være tilgjengelig for den videre virksomhet. Denne løsningen harmonerer ikke helt med forskriftens ordlyd, men om man velger å beholde all epost som er virksomhetsrelatert i epostkassen, så oppfyller man lovens hensikt og det blir en formalitet om epostkassen er slettet eller ikke. 

Ovennevnte løsning støttes også av Fornyings-, administrasjons- og kirkedepartementets kommentarer til forskriften (pdf), hvor det følger i kommentarene til forskriftens § 9-4: 

Det mest praktiske vil da være at arbeidstaker sletter e-post eller andre dokumenter med privat innhold, og gir arbeidsgiver tilgang til all dokumentasjon med tjenstlig innhold.

Hvis det ikke blir tid for den ansatte til å gå gjennom eposten og elektronisk lagret informasjon, f.eks. ved at arbeidstakeren dør, må arbeidsgiveren slette alt innholdet innen rimelig tid dersom ikke eposten mv. på annet grunnlag kan beholdes videre. Mener arbeidsgiveren at det er informasjon som er av betydning for virksomheten, så kan arbeidsgiveren kreve innsyn i epost og lagret informasjon etter de øvrige regler i personopplysningsforskriften kapittel 9. 

Oppsummering – handlingsliste

Som arbeidsgiver bør man ha etablert rutiner for å håndtere epost og elektronisk lagret informasjon ved arbeidstakeres fratreden. Rutinene kan være som følger: 

  1. Før fratreden skal den ansatte gjennomgå sine eposter og elektronisk lagret informasjon for å slette eller flytte ut all informasjon som er av personlig karakter og som ikke er nødvendig for den videre virksomhet. Ønsker ikke arbeidsgiveren å la den ansatte gjennomgå epost mv. alene, så må gjennomgang sammen med den ansatte skje etter prosedyrene i personopplysningsforskriften § 9-3. Personalhåndbok, i arbeidsavtale og i instrukser/prosedyrer ved ansattes fratreden bør inneholde prosedyrer for håndtering av epost mv. ved fratreden. 
  2. Etter slik gjennomgang bør den ansatte bekrefte skriftlig overfor arbeidsgiveren at denne har gjennomgått sine eposter mv., og at den informasjon som er igjen der, er ikke privat og at det er kun informasjon som er nødvendig for den videre virksomhet og at videre drift ved virksomheten tilsier at man kan beholde informasjonen. 
  3. Arbeidsgiveren kan da etter fratreden fritt kunne aksessere og behandle de eposter og den informasjon som er igjen etter den ansatte. Det er viktig at epostkassen sperres for mottak av eposter, selv om den kan aksesseres senere. Eposter som mottas etter fratreden kan ikke arbeidsgiver få tilgang til, og ved at eposter kommer inn i epostkassen vil medføre at arbeidsgiver kan ikke aksessere noen del av epostkassen. 
  4. Får ikke den ansatte gjennomgått sine eposter mv. så må arbeidsgiveren vurdere om det skal foretas innsyn etter personopplysningsloven kapittel 9 for å hente ut eposter mv. som er nødvendig for arbeidstakerens videre virksomhet. 
  5. Eposter, epostkasse og elektronisk lagret informasjon som ikke er gjennomgått og klarert av den ansatte etter punkt 1 over, og bekreftet i punkt 2, skal slettes innen 6 måneder fra fratreden. 

Bli den første til å kommentere på "Hvordan overholde reglene om å slette ansattes epostkontoer etter fratreden, og samtidig ikke miste forretningskritisk epost"

Legg inn en kommentar

Ikke gå glipp av noe!

Motta nyhetsbrev fra Teknologirett: