Datatilsynets nyeste praksis viser, at en række betingelser skal være opfyldt, før kommuner lovligt kan gennemse ansattes og byrådsmedlemmers brug af e-mail og internet som led i kontrol. Dette gælder både, hvor kontrollen sker på baggrund af en konkret mistanke, og hvor den sker som led i en stikprøvekontrol.
Den 14. februar 2017 afgav Datatilsynet en vejledende udtalelse til Fredensborg Kommune, som viser, at der gælder strenge betingelser for kommunens kontrol af ansattes og byrådsmedlemmers brug af internet og e-mails.
Samme regler for ansatte og byrådsmedlemmer
Datatilsynets tidligere praksis vedrører alene kontrol af ansattes brug af hjemmesider og e-mails. Denne sag omfattede tillige byrådsmedlemmers brug af e-mails og hjemmesider. Datatilsynet udtaler, at de samme regler i persondataloven gælder for byrådsmedlemmer som for ansatte.
Baggrunden for kontrollen
Ifølge Fredensborg Kommune havde kommunen i en række tilfælde oplevet, at oplysninger fra dagsordener til lukkede møder var blevet viderebragt til udenforstående. Alene byrådsmedlemmer og medarbejdere i administrationen havde adgang til disse dagsordener. Kommunen ønskede på denne baggrund at iværksætte en undersøgelse, som indebar en kontrol af brug af internet og e-mails.
Fredensborg Kommune havde i sin it-politik informeret om, at al aktivitet på internettet og i e-postsystemer ville blive logget. It-politikken blev forelagt byrådsmedlemmer og ansatte ved deres tiltræden. Fredensborg Kommune henviste til denne forudgående informering i forbindelse med undersøgelsen af en lækage fra en lukket dagsorden.
Betingelser for kontrol
Datatilsynet udtalte, at der som udgangspunkt gælder følgende betingelser for kontrol af brug af internet og e-mail:
- Behandlingen skal have hjemmel, for eksempel hvis det er nødvendig for at forfølge berettigede interesser, og disse interesser skal overstige hensynet til de registrerede.
- Kommunen skal forudgående klart og utvetydigt informere om registreringen, og om at der kan ske kontrol af den loggede data.
Kravet om forudgående information kan i visse tilfælde fraviges, hvis der er tale om afgørende hensyn til private eller offentlige interesser. Det er kommunen selv, der skal foretage denne vurdering, og Datatilsynet vil efterfølgende kunne tage konkret stilling til kommunens vurdering.
Datatilsynets praksis viser dog, at undtagelsen er ganske snæver. Praksis viser tillige, at der også i tilfælde, hvor behandling af oplysninger i kontroløjemed sker på baggrund af en konkret mistanke (i modsætning til som led i en stikprøvekontrol), vil skulle gives forudgående information om brug af oplysningerne.
Datatilsynet tilføjede dog i udtalelsen, at mistanke om misbrug af adgang til personoplysninger skal undersøges af den dataansvarlige, og at et sådant eventuelt misbrug kan undersøges, uanset om kravet om forudgående information er opfyldt.
Den konkrete sag
Datatilsynet udtalte i den konkrete sag, at kravet om forudgående information ikke var opfyldt. Begrundelsen lød, at Fredensborg Kommune ikke havde givet en klar og utvetydig forudgående information, om at brug af internet og e-mails kunne blive gennemset som led i en kontrol ved mistanke om brug af internet eller e-mails i strid med arbejdspladsens retningslinjer.
Udtalelsen viser dermed, at det som udgangspunkt ikke er nok forudgående at informere om, at e-mails og internetaktivitet bliver logget. Der skal også informeres om, at der kan foretages kontrol af de loggede data.