Det är arbetsgivaren som bestämmer hur arbetsredskap såsom e-post, dator och mobiltelefon ska användas och arbetsgivaren ska även informera om han eller hon till exempel tänker kartlägga hur internet används och hur detta i så fall kommer att gå till. All kontroll ska ha ett i förväg bestämt syfte. Det är viktigt att komma ihåg att dataskyddsförordningen gäller för e-post, precis som för all annan personuppgiftsbehandling. Beroende på hur och vad arbetsgivaren informerat om på förhand, kan arbetsgivaren ha rätt att till exempel läsa den anställdes e-post.
Företaget måste å ena sidan iaktta reglerna i dataskyddslagen och god sed på arbetsmarknaden. Å andra sidan är det arbetsgivaren som leder och fördelar arbetet och som dessutom äger arbetsredskapen. Dataskyddslagen stadgar att samtycke normalt sett måste ges från den vars personuppgifter behandlas. Av god sed på arbetsmarknaden följer även en informationsplikt, det vill säga att arbetsgivaren i förväg ska informera om vilka kontroller som kan komma att genomföras. När det gäller begreppet god sed på arbetsmarknaden görs en avvägning mellan parternas intressen.
Genom att företaget i en IT-policy beskriver hur e-post och mobiltelefoner med mera kan och får användas samt även anger vilka typer av kontroller som arbetsgivaren kan komma att utföra, har arbetsgivaren informerat om detta. Har arbetsgivaren ett berättigat intresse kan arbetsgivaren till och med ha rätt att läsa privat e-post som skickats från arbetsgivarens e-postkonto, om det till exempel finns misstanke om illojalitet eller brottsligt agerande. Denna rätt föreligger även utan att en särskild e-postpolicy finns. Finns en sådan policy har arbetsgivaren även då rätt att kontrollera att policyn efterlevs, om det finns ett berättigat intresse därtill.
Det är inte tillräckligt att endast se till vad dataskyddslagen föreskriver utan fler rättskällor bör användas som komplement till varandra. ”Var och en har rätt till respekt för sitt privat- och familjeliv, sitt hem och sin korrespondens” stadgas det t ex i Artikel 8 i Europakonventionen.
Rättspraxis
Även Integritetsskyddsmyndighetens utredningar och Europadomstolens avgöranden är av betydelse. Bland annat är Europadomstolens dom av den 3 april 2007 nr 62617/00, Copland ./. Storbritannien av intresse eftersom den fastslår att för att kontroll ska vara tillåten krävs att det på arbetsplatsen finns regler och riktlinjer som tydligt talar om vad som gäller för användningen av e-post och internet, att kontroll eller övervakning kan komma att ske och hur kontrollen blir utförd.
I Europadomstolens dom av den 5 september 2017 nr 61496/08, Barbulescu ./. Rumänien slår domstolen fast att de åtgärder arbetsgivaren vidtar för att övervaka sina anställda måste vara proportionerliga och det ska inte föreligga risk för missbruk. För att en av arbetsgivaren vidtagen åtgärd ska vara godtagbar måste de anställda i förväg ha fått tydlig information om att arbetsgivaren kan komma att kontrollera e-postkorrespondensen. Är det möjligt för arbetsgivaren att inrätta ett övervakningssystem med mindre inkräktande metoder och åtgärder än att direkt ge sig tillgång till det faktiska innehållet i en kommunikation ska arbetsgivaren i första hand göra detta.
Tänk på
En arbetsgivare måste se till att de anställdas personliga integritet inte kränks. Ibland kan dock en avvägning mellan den anställdes och arbetstagaren motstående intressen behöva göras.
I Europadomstolen kan en medborgare i ett land som undertecknat Europakonventionen dra staten inför rätta om man anser att landets lagstiftning eller rättstillämpning gör att ens rättigheter enligt konventionen inte beaktas.
Från och med 25 maj 2018 gäller EU:s nya regler om personuppgifter, dataskyddsförordningen som givit upphov till den svenska dataskyddslagen, vilka innebär att de ovanstående reglerna förändras. Ett syfte med dataskyddsförordningens nya regler är att betona att det företag, myndighet eller annan organisation som behandlar personuppgifter aktivt måste ta ansvar för att se till att förordningens regler följs. Förordningen innebär en förstärkning av enskildas rättigheter och tydliggörande av skyldigheter för den som behandlar personuppgifter samt en harmonisering av reglerna kring personuppgifter innebärandes att samma rättigheter och skyldigheter gäller i hela EU/EES.