ERRROOOORRRRRR
Den underliggende tilkoblingen Kan ikke opprette klareringsforhold for sikker SSL/TLS-kanal ble lukket.
ved System.Net.HttpWebRequest.GetResponse() ved System.Xml.XmlDownloadManager.GetNonFileStream(Uri uri, ICredentials credentials) ved System.Xml.XmlDownloadManager.GetStream(Uri uri, ICredentials credentials) ved System.Xml.XmlUrlResolver.GetEntity(Uri absoluteUri, String role, Type ofObjectToReturn) ved System.Xml.XmlTextReaderImpl.OpenUrlDelegate(Object xmlResolver) ved System.Threading.CompressedStack.runTryCode(Object userData) ved System.Runtime.CompilerServices.RuntimeHelpers.ExecuteCodeWithGuaranteedCleanup(TryCode code, CleanupCode backoutCode, Object userData) ved System.Threading.CompressedStack.Run(CompressedStack compressedStack, ContextCallback callback, Object state) ved System.Xml.XmlTextReaderImpl.OpenUrl() ved System.Xml.XmlTextReaderImpl.Read() ved System.Xml.XmlLoader.Load(XmlDocument doc, XmlReader reader, Boolean preserveWhitespace) ved System.Xml.XmlDocument.Load(XmlReader reader) ved System.Xml.XmlDocument.Load(String filename) ved EPiServer.Templates.Public.Units.Juristkontakt.Placeable.jkNewsFeed.Page_Init(Object sender, EventArgs e) Datagransking - Juristkontakt

Datagransking

Tilgang til elektronisk lagret informasjon er ofte avgjørende for å kartlegge fakta i de fleste typer av undersøkelsessaker (granskinger). I hvilken grad har arbeidsgiver anledning til å gjennomføre innsyn og søk i det som karakteriseres som personlige filer, herunder e-post og informasjon lagret på personlig område på virksomhets datasystem? Artikkelen trekker opp de rettslige rammene for slike undersøkelser.


Av advokat Erling Grimstad og Senior Manager Lars Wilberg i BDO Integrity Services

 

Rettslige rammer

Forskriften om arbeidsgivers rett til innsyn i elektronisk lagret informasjon er av 1.3.2009. Forskriften regulerer innsyn i e-post og i arbeidstakers personlige områder på filservere og andre elektroniske kommunikasjonsmedier stilt til arbeidstakers disposisjon for bruk i arbeidet (lesebrett, mobiltelefon, minnepenner o.a.). 

Reglene i personopplysningsforskriftens kap 9 beskriver i hvilke tilfeller arbeidsgiver har rett til innsyn. Utgangspunktet er at innsyn kan skje når:

  • Det er nødvendig for å ivareta den daglige driften eller andre berettigede interesser ved virksomheten, eller
  • ved begrunnet mistanke om at arbeidstakers bruk av e-postkassen medfører grovt brudd på de plikter som følger av arbeidsforholdet, eller kan gi grunnlag for oppsigelse eller avskjed.

Det stilles flere krav før innsyn kan gjennomføres. Arbeidsgiver skal foreta en konkret vurdering av om det foreligger et kvalifisert behov for tilgang til den ansattes informasjon for å kunne ivareta arbeidsgivers berettigede interesse.

Forskriften stiller flere krav til prosedyren for innsynet. Blant annet skal den ansatte om mulig varsles i forkant og gis anledning til å uttale seg. Varselet skal inneholde en begrunnelse for innsynet, samt en orientering om den ansattes rettigheter. Dersom innsyn gjennomføres uten forutgående varsel, skal den ansatte gis skriftlig underretning så snart innsynet er gjennomført. Underretningen skal inneholde en beskrivelse av metoden som ble benyttet ved innsynet, hvilke e-poster eller dokumenter som ble åpnet samt resultatet av undersøkelsene.

Videre har den ansatte anledning til å være tilstede under innsynet, eller utpeke en representant som kan være tilstede.

Innsynet må gjennomføres på en slik måte at dataene så langt mulig ikke endres og at frembrakte opplysninger kan etterprøves.

Arbeidsgiver har ikke anledning til å avtale innsyn til arbeidstakerens ugunst i andre situasjoner enn det som følger av bestemmelsene. Arbeidsgiver skal ikke utferdige instrukser eller arbeidsavtaler hvor arbeidstakeren får dårligere rettigheter, uten at de lovpålagte krav om fremgangsmåte og ivaretakelse av arbeidstakerens personvern følges.

Dersom virksomheten benytter en ekstern leverandør til innsynet, fremkommer det av bestemmelsene i personopplysningsloven (§ 15) at det må inngås en særskilt databehandleravtale mellom virksomheten (behandlingsansvarlig) og leverandøren (databehandler). En slik avtale må tilpasses hvert enkelt tilfelle og skal på et overordnet nivå inneholde en beskrivelse av:

  • Formålet med behandling av personopplysningene (dataene)
  • Hvorfor arbeidsgiver har en berettiget interesse i å gjennomføre innsynet
  • Elektronisk lagret informasjon det skal søkes i
  • Hvordan søket skal dokumenteres
  • Hvilke informasjonssikkerhetstiltak er på plass
  • Hvordan informasjon til ansatte gis
  • Hvordan og når sletting av informasjon vil bli foretatt

Personopplysningslovens kap VI inneholder bestemmelser om meldeplikt til datatilsynet ved behandling av personopplysninger med elektroniske hjelpemidler. Varselet skal ha et bestemt innhold og skal finne sted senest 30 dager før behandlingen tar til, et krav det i mange tilfeller vil være vanskelig å oppfylle av hensyn til effektiv saksbehandling og virksomhetens interesser. Dersom virksomheten har eget personvernombud kan varslingen gis dit, alternativt til den eksterne leverandørens personvernombud om den tilbyr slike tjenester.

Praktisk tilnærming til gjennomføring av innsyn 

Vi har erfart hvilken betydning det har å ha etablert gode rutiner for gjennomføring av innsyn i elektronisk lagret informasjon og sørge for en ryddig, åpen og informativ prosess. Nøkkelen er å skape forutsigbarhet for den som blir utsatt for slikt innsyn, og være åpen om fremgangsmåten for slik analyse. Etter vårt syn er det god praksis å utarbeide en samtykkeerklæring der den/de berørte blir bedt om å ta stilling til anmodningen om innsyn. De rettslige kravene til fremgangsmåten skal selvsagt følges selv om det gis samtykke.

Ofte kan det være aktuelt å hente data fra virksomhetens back-up-systemer. Av hensyn til tidsaspektet, dvs. at viktige data ikke slettes, og for å oppnå en effektiv fremdrift, bør slik sikring (speiling) igangsettes så raskt som mulig. Samtidig bør det kartlegges hvilke personer i virksomheten som må involveres, hvilke data som er tilgjengelig for det aktuelle tidsrommet og om det er behov for spesielle tiltak i forbindelse med gjenskaping av data. Dersom de aktuelle dataene går langt tilbake i tid kan det være skjedd systemendringer eller lignende i virksomheten. I så fall medfører det ofte ekstra utfordringer i form av mangel på nødvendig software eller hardware.

Før søket innledes bør det utarbeides en liste med relevante søkebegreper. Det bør alltid gjøres en vurdering av hvor bredt det skal søkes. I utgangspunktet bør det utarbeides skreddersydde og spissede søkebegreper slik at etterarbeidet med gjennomgang og analyse av søkeresultatene ikke blir for omfattende. I komplekse saker der fakta er uklart kan det imidlertid være slik at analysen vil kunne identifisere behov for oppfølgende søk/undersøkelser.

Bruk av dedikerte og anerkjente sikrings- og søkeverktøy anbefales av flere grunner. Ordinære søkeverktøy er som regel integrert i standard kontorapplikasjoner og kan fungere greit til enkle søk. Den spesielle programvaren (ofte omtalt som Computer Forensic-verktøy eller CF) har innebygget funksjoner som sikrer en full ”audit-trail” (loggføring) av søket/analysen som utføres. Loggen vil senere kunne tjene som dokumentasjon dersom saken bringes inn for rettsapparatet.

CF-verktøyene er også utviklet slik at det originale grunnlagsmaterialet ikke skal kunne manipuleres eller endres, verken ved sikring eller søk/analyse. Det betyr at det til enhver tid kan gjenskapes i eksakt samme tilstand som det var på sikringspunktet. Bruk av disse verktøyene er i tråd med de krav som stilles i personopplysningsforskriften. Det er ikke uvanlig at den som har gjennomført søket/analysen uttaler seg som ekspertvitne i retten for å redegjøre for eventuell usikkerhet om det arbeidet som er gjennomført.  

Verktøyenes funksjonalitet gjør det mulig å avgrense mot innsyn i privat og ikke relevant materiale ved hjelp av ulike filter og god arbeidsmetodikk. Den berørte arbeidstakeren ønsker normalt ikke noen fullstendig blottlegging av hele sin private kommunikasjon. Særlige hensyn ved saken kan tilsi at det er nødvendig å søke i denne type data. En annen fordel ved bruk av spesialverktøy er muligheten til å finne informasjon som er forsøkt slettet. Ofte kan slik informasjon være avgjørende, for eksempel i komplekse saksforhold hvor påstand står mot påstand.

Når innsynet eller søket er ferdig, skal arbeidstakeren ha full oversikt over hvilke filer eller e-poster som har vært gjenstand for søket og hvilken informasjon som er hentet ut. All overskuddsinformasjon som ikke er relevant for saken skal slettes i henhold bestemmelsene i personopplysningsforskriften. Normalt vi dette finne sted en viss tid etter at oppdraget er avsluttet.

 

Artikkelen er skrevet av advokat Erling Grimstad og Lars Wilberg i BDO Integrity Services og er kun uttrykk for deres private synspunkter og forslag. Det innebærer at artikkelen ikke gir uttrykk for synspunkter som nødvendigvis deles av BDO eller er i samsvar med selskapets policy eller oppfatninger.


Papirutgaven Les papirutgaven
Les siste papirutgave av JURIST kontakt