personvern

Datatilsynet mener NTNUs varsel om innsyn i Eikrems pc er spesielt

— Denne saken er jo spesiell, fordi det gjelder ytringer utenfor jobben, sier juridisk rådgiver i Datatilsynet. Øyvind Eikrems advokat truer NTNU med rettslige skritt i saken.

I fjor fikk Datatilsynet 446 henvendelser om personvern i arbeidslivet, de fleste av dem handler om varsel om arbeidsgivers innsyn i e-poster til ansatte.
I fjor fikk Datatilsynet 446 henvendelser om personvern i arbeidslivet, de fleste av dem handler om varsel om arbeidsgivers innsyn i e-poster til ansatte.
Publisert Oppdatert

NTNU sendte fredag før pinse varsel til førsteamanuensis Øyvind Eikrem om at de som arbeidsgiver kommer til å foreta innsyn i e-postkassen hans og annet elektronisk lagret materiale.

Målet er å avklare mistanken om at han har spredd det NTNU kaller hatefulle ytringer gjennom anonym Facebook-konto ved å bruke pc som arbeidsgiver NTNU har stilt til disposisjon for ham.

Innsynet vil, ifølge varselet «også omfatte opplysninger som Eikrem har slettet fra de nevnte elektroniske mediene, men som finnes lagret på sikkerhetskopier eller annet som arbeidsgiver har adgang til».

Etter det Khrono kjenner til skriver NTNU i varselet at de mener å ha saklig grunn for å gjennomføre innsynet blant annet for å ivareta «andre berettigede interesser ved virksomheten».

Les også: NTNU truer Eikrem med avskjed

Datatilsynet får 446 henvendelser om personvern i arbeidslivet, langt de fleste av disse handler om arbeidsgivers kontroll av arbeidsgivers e-post.

— Ofte er det i tilfeller der det er uenighet mellom arbeidstaker og arbeidsgiver, forteller juridisk rådgiver i Datatilsynet, Kaja Breivik Furuseth.

Hun finner likevel NTNUs sak mot Eikrem spesiell:

— Denne saken er jo spesiell, fordi det gjelder ytringer utenfor jobben. Jeg kjenner ikke til at vi har vurdert lignende saker som denne, selv om det er vanlig at det blir gjort innsyn i e-post, sier Breivik Furuseth til Khrono.

Og hun legger til:

— Det er ganske ofte at dette kommer opp i sammenheng med spørsmål om oppsigelse eller avskjed. Arbeidsgiver forsøker kanskje å sikre seg bevis for at arbeidstakeren har gjort noe ulovlig eller i strid med interne regelverk. Det kan være begrunnet mistanke om at bruken av utstyret er i strid med reglementet, som kan gi grunnlag for oppsigelse, sier Furuseth.

Har benektet forholdene

Bakgrunnen for denne saken mellom Eikrem og NTNU startet 20. februar i år da Filter Nyheter skrev en sak der de hadde snakket med flere anonyme kilder som hevdet at førsteamanuensis Øyvind Eikrem ved NTNU har stått bak flere anonyme Facebook-kontoer der han har «hisset opp til rasistiske nettdebatter».

Eikrem selv har hele tiden benektet dette, både overfor Khrono og via sin advokat i andre medier. Det har likevel vært knyttet spenning til hvordan NTNU kom til å håndtere situasjonen.

Eikrem har i det siste ikke ønsket å uttale seg om saken, men til NRK mandag kveld sier han at han ikke forstår hvordan NTNU som arbeidsgiver kan kreve tilgang til all hans private e-post-korrespondanse og materiale som ligger på datamaskinen hans.

— Det som påstås er ikke noe lovbrudd. Det er vel fortsatt politiet og ikke NTNU som eventuelt foretar etterforskning, sier førsteamanuensis Eikrem til NRK, som nå truer med rettslige skritt mot landets største universitet.

— Jeg har på vegne av Eikrem levert en protest på dette til NTNU. Det er der saken står i dag. Hvis de står på kravet vil vi vurdere å gå til rettslige skritt, sier Torfinn Svanem til NRK.

Mandag kom svaret fra NTNU om at de fortsatt står på sitt.

Datatilsynet: Drift eller grove pliktbrudd

Arbeidsgivers innsyn i e-post og annet elektronisk materiale er regulert i Forskrift om arbeidsgivers innsyn i e-postkasse og annet elektronisk lagret materiale.

Datatilsynet oppsummerer innsynsmulighetene som følger på sine hjemmesider:

«En arbeidsgiver kan bare gjøre innsyn i ansattes e-post eller private filer i to tilfeller. Det første er når det er nødvendig for å ivareta driften av virksomheten, det andre er ved mistanke om grove brudd på arbeidstakerens plikter.»

Furuseth i Datatilsynet forteller at i denne saken må NTNU kunne vise at det ikke bare er snakk om «berettiget interesse» fra deres side, men at det er nødvendig at de får innsyn. Dersom de kan finne ut av det de lurer på uten å gjøre innsyn, er det ikke nødvendig.

Hun viser dessuten til Personvernforordningen, hvor det står at man må veie interessen til den ansatte opp mot formålet til arbeidsgiveren

NTNU ønsker innsyn i førsteamanuensis Øyvind Eikrems utstyr og elektronisk lagret materiale. Eikrem nekter.
NTNU ønsker innsyn i førsteamanuensis Øyvind Eikrems utstyr og elektronisk lagret materiale. Eikrem nekter.

— NTNU må foreta en interesseavveining. Hvis Eikrems grunnleggende rettigheter krever vern av opplysninger, skal ikke NTNU gjøre innsyn. Arbeidstaker har også innsigelsesrett. Når Eikrem har protestert gjennom en advokat, slik han har, skal det enda mer til for å gjøre innsyn, og NTNU har en plikt til å vurdere protesten han har kommet med.

Eikrem har gjennom sin advokat nettopp fremmet en slik innsigelse. Denne besvarte NTNU mandag.

Etter det Khrono kjenner til fastholder NTNU i sitt svar at de mener vilkårene for innsyn er til stede, og de viser til sin begrunnelse.

Når Eikrem har protestert gjennom en advokat, slik han har, skal det enda mer til for å gjøre innsyn.

Kaja Breivik Furuseth, Datatilsynet

«NTNU har et berettiget behov for å avklare hvorvidt Eikrem har benyttet NTNUs IKT-utstyr i strid med IKT-reglementet», heter det i svaret fra NTNU.

— Hva skal til?

— Men jobb-pc regnes ikke som privat?

— Det er kun mulig å be om innsyn hvis arbeidsgiver har stilt det elektroniske materialet til disposisjon. Dette gjelder ikke hvis arbeidstaker surfer fra egenkjøpt pc hjemme. Jobb-pc regnes ikke som helt privat, men dette er spesialregulert bl.a. fordi arbeidstakere ofte har privat informasjon på arbeidsgivers e-post der. Det skal derfor en del til å få innsyn, sier hun.

— Innsyn foregår ofte ved at arbeidsgiveren søker på bestemte ord som mistanken eller arbeidsgivers behov gjelder. Det er altså ikke slik at de kikker på alt som ligger i innboksen, sier Furuseth.

— Er det ofte at det blir gitt innsyn?

— Ofte er det helt praktiske ting som ligger bak, som for eksempel at noen er syke. En viktig vurdering er om innsyn nødvendig, eller om arbeidsgiver kan oppnå det de trenger på andre måter, sier hun.

Datatilsynet får inn mange klagesaker i forbindelse med at arbeidstaker har bedt om slikt innsyn.

— Da kan vi behandle saken. Hvis Eikrem nå velger å klage kan vi vurdere om vi er enig med NTNU. Hvis vi kommer til at de ikke hadde lov til å få innsyn, kan vi gi dem et overtredelsesgebyr, sier hun.

— Du sier og at dere har mulighet til å gi NTNU en form for bot hvis Eikrem klager. Hvor mange får slik bot?

— Det har vi dessverre ikke tall på. Vi har gitt ett overtredelsesgebyr for ulovlig innsyn i e-post hittil i år, på 75.000 kroner, forteller Furuseth.

Ble avskjediget i 2016

Hvor vanlig er det egentlig å be om slikt innsyn, og kan det faktisk føre til avskjedigelse?

Vel, det skjedde med en teknisk-administrativt ansatt ved Universitetet i Bergen (UiB) i 2016.

Da skrev På Høyden at en ansatt fikk avskjed etter å ha lastet ned store datamengder på arbeidsgiverens maskiner. Forholdet ble oppdaget fordi datamaskinen personen brukte, knapt fungerte lenger etter å ha blitt fylt opp med bøker, filmer, lydfiler – samt virus.

Lederen til den ansatte var særlig opptatt av de mange bruddene på UiBs IKT-reglement i saken.

— Det var som å invitere hackere inn til oss. Hvis ikke et slikt brudd på IKT-reglementet skal føre til avskjed, så må det utrolig mye til, sier lederen.

Det ble funnet flere typer virus og skadevare på maskinen, og ett program hadde åpnet en bakdør inn på maskinen. Slike infiserte maskiner blir ofte brukt av hackere til videre angrep mot hele nettverket.

— Jeg har en viss samlemani. Og når en først har begynt, er det lett å fortsette. Primært har jeg samlet elektroniske bøker, som har vært hovedsaken. Jeg har også stuen full av papirbøker, og leser mye, sa vedkommende til På Høyden.

Men det var ikke bare bøker universitetet fant da de gikk gjennom den aktuelle datamaskinen etter at saken ble oppdaget. En rapport fra konsulentselskapet PWC viser at store datamengder, inkludert porno, ble lastet ned, og ett bilde er trolig barnepornografi.

Saken ble anmeldt til politiet, men var ikke etterforsket da På Høyden skrev om den i 2016. Khrono er ikke kjent med status for politisaken. Nedlasting av opphavsrettslig beskyttet materiale og eventuell barnepornografi var hovedpunktene i anmeldelsen.

Universitetsdirektør Kjell Bernstrøm uttalte den gang til På Høyden at han mente at det ikke var en for hard reaksjon å gi den ansatte avskjed.

Advokat Strømme: Ikke laget for facebook

Advokat Vidar Strømme hos Schjødt, uttalte seg til Khrono om saken rett før helgen. Han tok da forbehold om at han ikke kjenner saken annet enn fra Khrono og Filter Nyheters artikkel.

— Reglene om innsyn i ansattes e-poster og private områder på pc, er nok ikke myntet på å kontrollere hva folk ytrer på Facebook, skriver han til Khrono, men han mener arbeidsgiver kan ha et berettiget behov for å se om en arbeidstaker motarbeider arbeidsgiver i e-poster, for eksempel gjennom konkurrerende virksomhet.

Strømme legger til at selve bruken av arbeidsgivers utstyr til private formål kan også være uberettiget, for eksempel av sikkerhetshensyn eller fordi den ansatte bruker arbeidstiden til private ting.

— Det er det berettiget å finne ut av, mener han.

— Men her er neppe poenget hvem som eier pc-en, men hva som er ytret. Da skal det mye til å gjøre slike undersøkelser, det må dreie seg om så grove pliktbrudd at det kan medføre avskjed. Og pliktbruddet må kunne knyttes til arbeidsforholdet, skriver Strømme.

Advokat Strømme understreker at etter forskriften må det foreligge en «begrunnet» mistanke, ikke «berettiget» for å kunne gjennomgå en ansatts pc.

— Man må altså ha positive holdepunkter for at noe galt har skjedd. Hva man har her vet jeg jo ikke, men et ønske om å avkrefte en usikkerhet som andre har skapt, og som man selv har benektet, er neppe nok, mener Vidar Strømme.

— Man må løfte blikket fra reglene og til vernet av ytringsfriheten som setter grenser for bruken av forskriften (om innsyn i pc red.mrk). Man må også tenke seg at praksisen er konsekvent. Og spørsmålet er om slike fremgangsmåter da er forenlig med vernet av ytringsfriheten, understreker Strømme.

— Det er jo helt klart problematisk om folk skal frykte at arbeidsgiver beslaglegger pc-en, basert på andres påstander om hva de har ytret på Facebook. Testspørsmålet er om dette vil ha en «chilling effect», og det vil det nok, mener Strømme.

Hva er et grovt pliktbrudd?

Det er arbeidsmiljøloven § 15-14 som regulerer arbeidsgivers adgang til å meddele avskjed. Bestemmelsen setter opp to vilkår:

Grovt pliktbrudd eller annet vesentlig mislighold av arbeidsavtalen. Høyesterett har imidlertid uttalt at alternativet «grovt pliktbrudd» egentlig er en presisering av det generelle vilkåret om vesentlig mislighold av arbeidsavtalen. Noe klart skille mellom de to foreligger dermed ikke, skriver arbeidsrettsadvokatene på sine nettsider.

Advokat Eivind Arntsen en erfaren arbeidsrettsadvokat, og er ansvarlig for utviklingen av nettstedet «Arbeidsmiljøloven, med forklaringer» og er til daglig advokat og er partner i Brækhus Advokatfirma i Oslo.

Arntsen skriver om under hvilke betingelser en arbeidsgiver kan avskjedige en arbeidstaker med påbud om øyeblikkelig fratreden, og hva som ligger i arbeidsmiljølovens formulering: «...dersom denne har gjort seg skyldig i grovt pliktbrudd eller annet vesentlig mislighold av arbeidsavtalen.»

Arnsten trekker fram som eksempel: Misbruk av kredittkort, juksing med timeføring, datainnbrudd hos arbeidsgiver, utpressing og trusler, seksuell trakassering, og vold mot kollega (også på fritid).

Endringslogg:

8. juni 23.45: Saken er vinklet om og det er lagt inn sitater fra Øyvind Eikrem og hans advokat gitt til NRK mandag kveld

9. juni 00.03: Endret antall saker fra 4455 til 446. Datatilsynet hadde først oppgitt feil tall til Khrono. Dette er nå rettet.