Dette var budskapet fra førstekonsulent Endré Grøtnes i Datatilsynet til arbeidsgivere og bransjefolk under IBMs seminar om datasikkerhet denne uken. Om du bruker din sjefs maskiner for å skrive kjærlighetsbrev i arbeidstiden, har ikke sjefen lov til å lese e-posten uten din tillatelse, var budskapet.
- Arbeidsgivere har i utgangspunktet ikke rett til å lese elektronisk post. Skal man ha den retten, må det settes opp avtaler for det. Sett fra vår side er det greit at arbeidsgiver leser posten om man har en avtale som eksplisitt sier at dette gjør vi, sa Grøtnes.
Arbeidsgivere som overvåker e-post bryter loven. Også loggføring av nettstreifingen din er lovbrudd, fordi dette bryter mot personregisterloven.
Spesielt internasjonale selskaper som har en moralkodeks som virker strikt etter norske forhold, har problemer med å holde seg innenfor dette lovverket, sa førstekonsulenten og nevnte eksempler fra USA, der folk har mistet stillinger for ting andre har gjort i deres navn.
Datatilsynets direktør Georg Apenes bekrefter overfor digi.no at e-post i utgangspunktet er privat, også om den ligger på arbeidsgivers maskin.
- Arbeidstakere har rett til privat skjerming også i en arbeidssituasjon. Hvis jeg skriver kjærlighetsbrev på min PC, har ikke arbeidsgiveren rett til å lese dette, sier Apenes og viser til at slik overvåking vil stride mot såvel arbeidsmiljøloven som personregisterloven, dersom den skjer uten at det er avtalt på forhånd.
Hverken Apenes eller Grøtnes mener imidlertid at arbeidsgivere er noe stort problem for personvernet. Det er derimot den vanlige nettbrukerens dårlige kjennskap til teknologien.
- Den største trusselen mot personvernet i dag er at den vanlige bruker ikke aner hva som skjer der ute. Sender du vanlig informasjon på Internett, er det som å sende et postkort. Hvem som helst kan lese det, sier Grøtnes.
Trøsten er at det finnes så mye informasjon der ute at ingen har mulighet til å lese alt.
Den tekniske infrastrukturen på Internett gjør at folk bør tenke to ganger på hvilken informasjon de sender over nettet, mener Apenes og viser til at en pasientjournal som sendes fra Legevakten i Oslo til Rikshospitalet, kan vandre innom Kuala Lumpur og et titalls andre steder før den kommer frem.
- Personregisterloven gjelder også på nettet. Hvis du skal overføre personlige opplysninger skal det gjøres kryptert. Egentlig må du ha samtykke fra Datatilsynet for det, opplyste Grøtnes, men la til at faren for å få besøk fra Datatilsynet ikke er særlig stor for lovbryterne.
- Vi kommer av og til for å ta stikkprøver hos bedriftene. Når jeg sier av og til, er det lett overdrevet. Det kan hende en gang per 100 år at vi faktisk kommer innom din bedrift.