Nå skal det sies at den endelige forskriften fremstår som  mer gjennomarbeidet enn utkastet som ble sendt på høring 17. oktober 2006.  Og vi må ta med at hele forskriften kom som et absurd svar på en ledelseskultur i Redningsselskapet hvor ledelsen søkte på ansattes PCer etter fyndord som heks, hurpe og kjærring. Fortjener slik absurd oppførsel en egen forskrift?

IKT-Norge har heldigvis fått gjennomslag for flere av våre synspunkter. Vi har jobbet tett med advokatfirmaet Føyen rundt høringen, og det samme gjelder innholdet i denne kronikken. Eksempelvis fastslår forskriften det prinsipielt viktige at arbeidsgiver eier e-postkassen, og at arbeidstakeren bare gis en disposisjonsrett.

Videre innebærer forskriften en viktig avklaring, ved at den gjelder for alle elektroniske kommunikasjonsmedier og elektronisk utstyr som er stilt til arbeidstakers disposisjon. Således vil det nå være klarere og mer forutsigbart hvilke regler som eksempelvis gjelder for innsyn i mobiltelefoner og håndholdte PCer.

Fornyingsdepartementet synes i den endelige forskriften i større grad enn i utkastet å ha lagt vekt på fleksible og dynamiske regler. Forskriften gir en viss skjønnsmessig adgang for arbeidsgiver til å gjennomsøke, åpne og lese e-post. Eksempelvis åpner forskriften for innsyn når det er nødvendig for å ivareta den daglige driften eller andre berettigede interesser ved virksomheten. Det gis ingen faste tidsfrister for når innsyn kan foretas. Dersom det f. eks skulle foreligge et tilbud (sendt til den ansattes postkasse) med en kort akseptfrist, kan det i følge departementets merknader være adgang til innsyn i den ansattes e-postkasse selv om den ansatte bare er ute til lunsj.

Forskriften ivaretar også til en viss grad situasjonene hvor innsyn eller undersøkelser er begrunnet i mistanke om brudd på plikter som følger av arbeidsforholdet. Reglene synes å være i samsvar med hva som er gjeldende rett i dag. Til tross for at dette var bakgrunnen for at forskriftsarbeidet ble iverksatt, har Departementet ikke turt å gå inn i de prinsipielle avveiningene mellom den ansattes interesse i beskyttelse og arbeidsgivers interesse i innsyn. Det er synd at departementet ikke gir klarere eksempler på når innsyn kan foretas på bekostning av de ansattes interesser, og i stedet legges opp til at interesseavveiingene skal avklares i praksis. Datatilsynet vil således både

• foreta interesseavveiningene,
• ha den fullstendige oversikten over praksis.

Da tilsynets hovedoppgave er å beskytte personvernet, skaper dette frykt for at praksis blir ensidig knyttet til saker hvor personverninteressene har vunnet frem på bekostning av arbeidsgivers interesser. Dette er uheldig og lite ønskelig sett fra arbeidsgivernes ståsted. Brudd på forskriften kan straffes med bøter opp til 700.000 kr, så her er det ingen grunn til ikke å ta dette på alvor.

Oppsummert synes forskriften å gi enkelte positive effekter ved at den avklarer forholdet mellom arbeidsgiver og de ansatte. Men når jeg påstår at FAD kan synes å tatt for mye tran, så skyldes det i første rekke at man her tilsynelatende gjør en enkel problemstilling svært vanskelig. For private mailer hører definitivt hjemme i en privat mailkonto og ikke bedriftens. Greier man å skille mellom to mailkontoer bør jo ikke dette være noe problem.

Et dilemma forskriften skaper, er slettingsreglene sett i forhold til annen lovgivning som gir plikt til å oppbevare viktig korrespondanse. Dette gjelder også for Norske selskap som ved å være listet på børs i USA er bundet av Sarbanes Oxley lovgivningen, og derfor har en plikt til å ta vare på e-post som ansatte har sendt og som selskapet må forstå kan få betydning for etterforskning av økonomisk kriminalitet m.m. Av hensyn til slik lovgivning vil det derfor være behov for interne dokumenterbare rutiner og instrukser for lagring av slikt materiale på annen måte enn i de ansattes postkasse. Og hvordan er forholdet til bokføringsloven. Stadig flere bilag mottas jo elektronisk via e-post? Kan lovgivningen være en snublefelle for å fremme kamp mot f.eks barneporno? Hva med outsourcete mailløsninger hvor serveren f.eks befinner seg i India?
Og hva med offline datalagring av mail? Når slutter informasjonen å være ”mail”? Når mailen lagres som fil? For meg ser det ut som denne forskriften vil skape flere spørsmål enn svar.

IKT-Norge inviterer næringen til et frokostseminar om disse problemstillingene i samarbeid med Advokatfirmaet Føyen den 10.mars.