Kontrollrapport. Kontrollobjekt: Statoil ASA Sted: Martin Linges vei 33, Fornebu

Transkript

1 Saksnummer: 15/00263 Dato for kontroll: Rapportdato: Kontrollrapport Kontrollobjekt: Statoil ASA Sted: Martin Linges vei 33, Fornebu Utarbeidet av: Andreas Hobæk Stian D Kringlebotn 1 Innledning Datatilsynet gjennomførte en kontroll hos Statoil ASA den 14. april Kontrollen ble gjennomført i medhold av personopplysningslovens 44, jf. 42, 3. ledd. Kontrollrapporten beskriver forholdene på kontrolltidspunktet. Eventuelle endringer som har funnet sted etter kontrollen, vil imidlertid bli hensyntatt. 2 Til stede under kontrollen 2.1 Fra Statoil ASA: - Hans Henrik Klouman, EVP LEG - Lars ldland VP, IT CFO CIT IS - Geir Owe Wærsland, VP, IT CFO CIT CO - Tor Inge Vik, Manager IT GBS ITC INF - Gry Cathrine Steen Hvidsten, advokat CFO GBS HR EML - Line Coll, advokat LEG BEC EDP - Svein Midbø, personvernombud - Siv Kristin Henriksen, jurist 2.2 Fra Datatilsynet: - Stian D. Kringlebotn, seniorrådgiver - Andreas Hobæk, seniorrådgiver 3 Om kontrollen Temaet for kontrollen var Statoils håndtering av de ansattes e-postkontoer og hjemmeområder. Kontrollen var varslet i brev av 5. mars Ved brev av 10. mars oversendte Statoil dokumentasjon som Datatilsynet hadde bedt om i varselbrevet. Den stedlige kontrollen fant sted i Statoils lokaler på Fornebu. Kontrollen handlet om etterlevelsen av personopplysningsforskriften kapittel 9. Det vi særlig så på var: Virksomhetens praksis for innsyn i ansattes e-postkasse og/eller hjemmeområde. 1 av 9

2 Virksomhetenes praksis for avslutning og sletting av e-postkasser og hjemmeområder. I tilknytning til disse temaene, så vi også mer generelt på rutiner etc. i virksomheten som kan medvirke til effektiv etterlevelse av reglene. Under kontrollen foretok Datatilsynet en stikkprøve av om virksomhetens egne rutiner for avslutning og sletting av e-postkasser ble fulgt i praksis. Det ble undersøkt om e-postkassen til enkelte ansatte som hadde sluttet for mindre enn ett år siden var avsluttet og slettet i henhold til rutinene. Det ble ikke gjort funn som tilsier at rutinene ikke fungerer. Testen ble gjennomført ved hjelp av personell i Stavanger over videolink. Under kontrollen ble det avtalt at Statoil skulle ettersende noe tilleggsinformasjon, som Datatilsynet mottok 11. mai. 4 Om Statoils håndtering av e-postkasser og hjemmeområder Statoil ASA er morselskap i Statoil konsernet. Konsernet har mange datterselskaper både i Norge og utlandet. Selv om virksomheten rent operasjonelt har mange selskaper, er de aller fleste ansatt i Statoil ASA. Det er først og fremst datterselskaper i utlandet som har egne ansatte. I Statoil ASA er det ansatt drøye personer. Statoil har styringssystemer og internkontroll som gjelder for samtlige selskaper. Konsernet styres på mange måter som en enhet. Det er IT-divisjonen i Statoil ASA som har ansvaret for utvikling og drift av IT-systemene i konsernet. Hos Statoil får alle ansatte tildelt personlig e-postkasse og hjemmeområde. I tillegg får mange ansatte hos underleverandører/samarbeidspartnere tildelt konto hos Statoil i forbindelse med arbeid som utføres for Statoil. Under kontrollen ble det opplyst at det er ca brukere i systemet som har egen e-postkasse. Opprettelse og avslutning/sletting av e-postkasser, hjemmeområde mv. skjer i automatiserte prosesser. Når det gjelder avslutning og sletting ved arbeidsforholdet opphør, skjer det med utgangspunkt i registrert sluttdato. Ved utløpet av sluttdato blir brukeren deaktivert i systemet i den betydning av vedkommende ikke lenger kan logge seg på. Vedkommende vil da ikke lenger ha tilgang til e-postkasse og hjemmeområde. E-postkassen blir avsluttet etter 75 dager. E-postkassen forblir således virksom i 75 dager etter at den ansatte har fratrådt det vil si at det kan sendes og mottas e-post fra den. Etter 75 dager stenges e-postkassen slik at den ikke lenger er virksom. Det er da ikke mulig å sende e- post til denne e-postkassen lenger, og avsender vil få feilmelding om at e-posten ikke kom frem. 2 av 9

3 Etter ytterligere 30 dager slettes innholdet i e-postkassen. Slik vi har forstått det slettes innholdet på personlige hjemmeområder på samme tid. Statoil har etablert en egen rutine/fremgangsmåte for innsyn i e-post mv. Fremgangsmåten er noe forskjellig avhengig av bakgrunnen for innsynet. Felles er imidlertid at innsynsanmodning må sendes til IT. IT gir ikke tilgang til e-postkassen eller liknende som sådan, men bistår med å finne frem den relevante informasjonen som deles med den som har bedt om innsyn. Ved innsyn ut fra hensynet til den daglige driften det typiske her er fraværssituasjonen hvor man trenger å få tak i en e-post eller dokument må innsyn bestilles fra såkalt information owner eller line manager. Dette er typisk personer i det teamet den ansatte jobber i. Det er den som bestiller som har ansvaret for å se til at innsyn er nødvendig samt forsøke å kontakte den ansatte i forkant. Innsynet bestilles på eget skjema hvor man blant annet må angi formålet og hvilke e-poster, dokumenter eller liknende man ønsker innsyn i. Det skal også opplyses i skjema om man har vært i kontakt med den ansatte i forkant eller ikke. Det følger av rutinen at dersom den ansatte ikke blir varslet i forkant, må den som har bedt om innsyn orientere vedkommende etterpå skriftlig. Ved innsyn i saker som gjelder mistanke om illojale/kritikkverdige/ulovlige handlinger fra den ansatte, må innsynsbegjæringen først forelegges HR-avdelingen for en nærmere vurdering av om innsyn er lovlig. Det er først hvis HR gir sin tilslutning at innsyn kan bestilles overfor IT. IT får ikke nærmere detaljer om bakgrunnen for innsynet. Ved innsyn som bygger på andre berettigede interesser for eksempel ved eksterne eller interne etterforskninger hvor det ikke nødvendigvis er mistanke om illojale handlinger eller anmodninger om informasjon fra utenforstående (f.eks. offentlige myndigheter), må innsynsspørsmålet først forelegges Legal for en vurdering. Det er først hvis Legal gir sin tilslutning at innsyn kan skje. Statoil har rutiner og retningslinjer for de ansattes bruk av IT-systemene, herunder e-post. Det finnes rutiner og systemer for de ansatte med hensyn til overføring av virksomhetsrelaterte e- poster, dokumenter osv. til systemer hvor de er tilgjengelig for andre. Blant annet er det praktisk å overføre til såkalte team sites. Statoil har også arkiv. På intranettet er det lagt ut praktisk informasjon om hvordan man kan gå frem for å dele e-poster med andre for eksempel flytte e-poster til team sites. Statoil har egne rutiner ved fratreden, blant annet i form av utklareringsskjema med angivelse av oppgaver som må utføres. Opprydding i e-post mv. er en av oppgavene som er beskrevet. Statoil har ingen eksplisitt rutine for bruk av fraværsassistent for eksempel ved fratreden (tatt i betraktning at e-postkassen forblir virksom i 75 dager) eller permisjoner eller annet lengre fravær. 3 av 9

4 5 Funn og avvik etterlevelse av regelverket Under kontrollen har Datatilsynet sett på hvilke rutiner og systemer virksomheten har for å håndtere e-postkasser og hjemmeområder. Vi har ikke kontrollert enkelttilfeller hvor for eksempel innsyn i e-post er foretatt. Nedenfor vil vi vurdere nærmere om Statoils rutiner og systemer er med på å sikre etterlevelse av reglene på området eller om de kommer i konflikt med reglene. 5.1 Innsyn e-post og hjemmeområder Når det gjelder Statoils rutiner for innsyn i e-post mv., viser vi til beskrivelsen over i punkt Om regelverket I forskrift til personopplysningsloven av nr (personopplysningsforskriften) kapittel 9 er det gitt særskilte regler om innsyn i e-post mv. Personopplysningsforskriften 9-2 angir vilkår for når innsyn i e-postkassen kan gjennomføres. Reglene gjelder tilsvarende for innsyn i den ansattes hjemmeområde, jf. forskriften 9-1 annet ledd annet punktum. Bestemmelsen gir ikke rettslige grunnlag for kontinuerlig eller fortløpende innsyn i eller overvåking av e-postkassen, men gir kun adgang til innsyn i enkeltstående tilfeller for konkrete formål. Det ligger i bestemmelsens natur at den skal gi rom for å kunne korrespondere fritt uten innsyn fra andre. Bestemmelsen er et uttrykk for at e-postkassen er et slags privat rom. Vernet mot innsyn i dette private rommet, er imidlertid ikke absolutt, og bestemmelsen åpner for at innsyn kan foretas i tilfeller hvor det er klart nødvendig å gjøre for å kunne ivareta en berettiget interesse for arbeidsgiver. I tillegg til vilkår for når innsyn kan gjennomføres, oppstiller personopplysningsforskriften 9-3 prosedyrekrav ved innsyn. Denne bestemmelsen er et utslag av et gjennomsiktighetsprinsipp, som er sentralt i personopplysningsregelverket. Prinsippet går ut på at behandling av personopplysninger skal skje i åpenhet, og ikke i det skjulte. Gjennomsiktighetsprinsippet er blant annet gjennomført i lovens alminnelige regler om plikt til å gi og rett til å få informasjon der personopplysninger blir behandlet, se personopplysningslovens kapittel 3. Sentrale krav etter 9-3 er at arbeidstaker så langt mulig skal varsles og få anledning til å uttale seg før innsyn gjennomføres, og hun skal ha rett til å være til stede under innsynet. Dersom innsyn er foretatt uten forutgående varsel, skal arbeidstaker etterpå få skriftlig 4 av 9

5 underretning med blant annet informasjon om hvordan innsynet ble foretatt og hvilke e- poster, dokumenter eller liknende som ble åpnet. Innsyn skal begrenses til tilfeller hvor det er nødvendig. I den forbindelse er det av betydning at arbeidsgiver treffer tiltak som kan begrense behovet for innsyn for eksempel med systemer og rutiner som gjør at de ansatte kan overføre virksomhetsrelaterte e-poster til steder hvor de er tilgjengelig for andre, eller bruk av fraværsassistent som er med på sikre at virksomhetsrelatert e-post sendt til en fraværendes e-postkasse blir fanget opp på en annen måte enn gjennom innsyn Datatilsynets vurdering Statoil har etablert et system for innsyn i e-post mv. For Datatilsynet fremstår løsning som god og fornuftig. Avhengig av hva bakgrunnen for innsynet er og formålet, kreves det annenhåndsvurdering av enten HR eller Legal. Et slikt system er med på sikre en skikkelig vurdering av legaliteten i tiltaket. Det må antas å kunne begrense overilte eller unødvendige innsyn. Datatilsynet ser det også som en fordel at IT-avdelingen bistår med å finne frem og overlevere etterspurt informasjon i en innsynssak. Systemet legger da opp til at den ansattes nærmeste sjef eller liknende ikke får direkte tilgang til e-postkassen som sådan med de muligheter for utilbørlig snoking eller liknede det kan gi. Det er også en styrke at innsynssaker er dokumenterbare, hvilket bidrar til etterrettelighet og ansvarlighet. Samlet sett kan Datatilsynet ikke se at de etablerte rutiner kommer i konflikt med reglene. Tvert i mot synes Statoils å ha etablert et system som vil medvirke til god regeletterlevelse. Vi finner ikke grunnlag for å si at det foreligger noen avvik. Vi finner likevel grunn til å peke på et par forhold som kan forbedres: Rutine for fraværsmelding: Datatilsynet vil anbefale å innføre en rutine for bruk av fraværsmelding ved lengre fravær. Fraværsmelding kan være et tiltak som er med på å redusere et behov for innsyn ut fra driftshensyn. Datatilsynet har erfaring med at innsyn foretas for å undersøke om den ansatte som er borte, har mottatt virksomhetsrelatert e-post som krever oppfølging. Slike situasjoner bør unngås. Fraværsmelding har den fordel at innsender får uttrykkelig beskjed om at e- postmottaker ikke er tilstede og hvor man må henvende seg istedenfor. Det må dermed antas at virksomhetsrelaterte e-poster som krever oppfølging blir sendt inn via andre kanaler. Rutiner ved fratreden: Vi vil anbefale at opprydding/sortering i e-postkassen mv. inkluderes i sjekklisten ved fratreden. Det er for så vidt omtalt i den generelle informasjonen at dette må gjøres, men det kan med fordel tydeliggjøres som et eget 5 av 9

6 punkt i sjekklisten for å bedre sikre at det blir gjort, noe som er en fordel for både Statoil og den ansatte. Informasjon til den ansatte ved innsyn: I skjema for begjæring om innsyn fremkommer det at den ansatte skal få informasjon om innsynet i etterkant dersom den ansatte ikke har blitt informert i forkant. I fremlagt eksempel på skriftlig informasjonsskriv til den ansatte i forkant av innsyn, fremkommer at dersom den ansatte ikke ønsker å være til stede, vil vedkommende få informasjon om resultatet av innsynet etterpå. Sett i sammenheng kan det fremstå som at Statoils rutine er å gi informasjon i etterkant om gjennomføringen av innsynet til den ansatte som ikke har vært til stede enten det skyldes manglende forhåndsvarsel eller andre grunner. Dette er imidlertid ikke klart. Datatilsynet mener informasjon generelt sett er viktig så lenge den ansatte ikke er til stede under innsynet for selv å kunne se hva som skjer. Etter personopplysningsforskriften 9-3 skal den ansatte, der innsyn er foretatt uten forutgående varsel, gis skriftlig underretning etter at innsynet er gjennomført med blant annet informasjon om metode for innsynet (for eksempel søkeord som ble benyttet), hvilke e-poster/dokumenter som ble åpnet samt resultatet av innsynet. Datatilsynet mener at tilsvarende bør gjelde også der den ansatte er varslet om innsynet, men ikke har vært til stede av en eller annen grunn. Så lenge den ansatte ikke har vært til stede, kan det foreligge et behov for å få vite i etterkant hvordan innsynet ble gjennomført det er ikke nødvendigvis tilstrekkelig å vite at et innsyn er gjennomført. Et slikt synspunkt korresponderer også med de alminnelige regler om rett til å få informasjon etter personopplysningsloven 18, herunder utdypende informasjon ved behov. Datatilsynet vil anbefale innføring av en rutine, eller tydeliggjøring av eksisterende rutine, som sikrer at den ansatte får vite metode for innsynet, hvilke e-poster/dokumenter som åpnes og hvilke e-poster/dokumenter som blir tatt ut av e-postkassen/hjemmeområdet. Det bør angis hvem som har ansvar for hva. 5.2 Avslutning av ansattes e-postkasse og hjemmeområde Når det gjelder Statoils etablerte system for avslutning av e-postkasse mv. og sletting av innhold, viser vi til det som er beskrevet under punkt Om regelverket Personopplysningsforskriften 9-4 inneholder en særregel om sletting mv. ved opphør av arbeidsforholdet. Bestemmelsen lyder: 6 av 9

7 Når arbeidsforholdet opphører, skal arbeidstakers e-postkasse mv. avsluttes og innhold som ikke er nødvendig for den daglige driften av virksomheten slettes innen rimelig tid. Personopplysningsloven 28 gjelder tilsvarende. Bestemmelsen regulerer i realiteten to ulike forhold avslutting av selve epostkassen og sletting av innholdet i e-postkassen. Fristen som oppstilles rimelig tid knytter seg til det siste. Plikten til å avslutte e-postkassen innebærer at e-postkassen skal opphøre å fungere slik at det verken kan sendes eller mottas e-postmeldinger. I praksis betyr det at e-postkontoen deaktiveres og den aktuelle e-postadressen knyttet til e-postkassen vil ikke lenger være en gyldig adresse. Den som sender e-post til denne adressen vil få en feilmelding om at e-posten ikke kan leveres. Dersom virksomheten har en såkalt catch all funksjon på sitt e-postsystem som fanger opp e-post som er sendt til riktig domene, men ellers ikke har gyldig adresse, må denne stilles inn slik at e-post til den aktuelle adressen ikke fanges opp. E-postkassen skal avsluttes straks arbeidsforholdet opphører. 9-4 er blant annet ment å gi arbeidstaker et vern mot at arbeidsgiver opprettholder og eventuelt bruker e-postkassen videre når vedkommende ikke jobber der lenger. Hensynet til dette vernet tilsier at e-postkassen «skrus av» når arbeidsforholdet opphører. Det samme gjør formålsbetraktninger. Formålet med å tildele de ansatte personlige e-postkasser er at dette skal være et personlig kommunikasjonsverktøy til bruk i arbeidet. Når den ansatte har sluttet og fratrådt, vil videre opprettholdelse og bruk av den e-postkassen som typisk er knyttet til den ansattes navn ikke ligge innenfor formålet. Det alminnelige prinsippet etter personopplysningsloven 28 om sletting når videre behandling ikke er nødvendig for å gjennomføre formålet, understøtter at e-postkassen deaktiveres ved arbeidsforholdets slutt. Selv om e-postkassen er avsluttet, altså at kontoen er deaktivert, vil innholdet i den fremdeles ligge lagret. Forskriften 9-4 oppstiller derfor et særskilt slettekrav - innhold som ikke er nødvendig for den daglige driften skal slettes innen rimelig tid. At arbeidsgiver er innrømmet noe tid før sletting av innholdet må skje, henger blant annet sammen med at den nødvendige sortering og opprydding i e-postkassen med hensyn til hva virksomheten trenger å beholde videre, ikke alltid lar seg gjøre før fratreden. Forskriften åpner altså for at alt innholdet kan lagres videre i noe tid etter fratreden før sletting skjer. Hva som er rimelig tid, er en konkret vurdering som vil kunne variere ut fra virksomhet og situasjon. I praksis kan imidlertid en arbeidsgiver ikke innrette virksomheten sin slik at opprydding i e- postkassen rutinemessig skjer etter fratreden. Innsynsreglene gjelder også etter fratreden, blant annet reglene om forhåndsvarsel og retten til tilstedeværelse. Når arbeidsforholdet er avsluttet vil det ofte kunne være vanskelig å gjennomføre innsyn etter god og forsvarlig fremgangsmåte. Arbeidsgiver bør derfor utarbeide rutiner som sikrer at sortering og opprydding i e-postkassen skjer før den ansatte fratrer altså med den ansattes tilstedeværelse og medvirkning. Det vil redusere behovet for viderelagring av e-postkassens innhold som sådan etter fratreden, og det vil redusere eventuelt behov for å gjøre innsyn etter fratreden. 7 av 9

8 Reglene i 9-4 gjelder også for den ansattes hjemmeområde. I praksis betyr det at innholdet på hjemmeområdet må slettes innen rimelig tid bortsett fra det som er nødvendig å beholde videre av hensyn til den daglige driften. Avslutning av hjemmeområdet tilsvarende det som gjelder for en e-postkasse er ingen aktuell problemstilling ettersom hjemmeområdet bare et lagringssted og ikke en kommunikasjonskanal som må skrus av Datatilsynets vurdering På kontrolltidspunktet var Statoils rutine at e-postkassene til de ansatte først blir avsluttet 75 dager etter fratreden. Det går deretter ytterligere 30 dager før innholdet i e-postkassen rutinemessig slettes. Alt innholdet lagres altså rutinemessig i 105 dager før sletting. Dette gjelder også for det som ligger lagret på den ansattes hjemmeområde. Med hensyn til at e-postkassen ikke avsluttes før 75 dager etter fratreden, finner Datatilsynet at rutinen kommer i konflikt med 9-4. Når det gjelder den rutinemessige lagringen av alt innholdet i 105 dager ( ) etter fratreden, finner Datatilsynet at det kan la seg forsvare og at praksis ikke strider mot 9-4. Avslutning av e-postkassen Som redegjort for over i punkt 5.2.1, mener Datatilsynet at e-postkassen skal avsluttes ved arbeidsforholdets opphør. Vi har akseptert enkeltstående tilfeller hvor e-postkassen opprettholdes en periode etter arbeidsforholdets opphør. Det har handlet om avskjed på dagen hvor virksomheten plutselig kommer i en vanskelig situasjon. Forutsetningen har da vært at det legges inn fraværsmelding som forklarer avsender hvor hun istedenfor må henvende seg idet e-postkassen kun skal brukes som informasjonskanal utad om hvor man må henvende seg. Det har også vært forutsatt at innsyn i e-postkassen ikke foretas. Vårt inntrykk under kontroll var at Statoils representanter ikke var helt sikre på begrunnelsen for eller behovet for å rutinemessig utsette avslutting av e-postkassen til 75 dager etter sluttdato. Det ble muntlig pekt på praktiske behov som mulighet for fraværsmelding for de ansatte og at det er hensiktsmessig i en del tilfeller ettersom registrert sluttdato i systemet ikke alltid innebærer at vedkommende skal slutte å jobbe for Statoil. Datatilsynet har vanskelig for å se at Statoils rutine som da vil gjelde for alle ansatte uansett om det er grunn til det eller ikke er i overensstemmelse med personopplysningsforskriften 9-4. Som en følge av dette mener vi praksisen må endres slik at e-postkassene rutinemessig avsluttes på fratredelsestidspunktet. Under kontroll ba vi Statoil om å ettersende nærmere redegjørelse for hvorfor e-postkassen ikke ble avsluttet før etter 75 dager. 8 av 9

9 I brev mottatt 11. mai har Statoil forklart at selskapet etter nærmere vurdering har endret praksis slik at e-postkassen avsluttes umiddelbart etter at den ansatte har sluttet. Som følge av dette må forholdet allerede ansees rettet opp i. Sletting av innhold Statoil sletter innholdet i e-postkassen og på hjemmeområdet rutinemessig 105 dager etter arbeidsforholdets opphør. Som nevnt innebærer kravet i forskriften 9-4 at innholdet skal slettes innen rimelig tid. Hva som ligger i dette beror på en konkret vurdering, hvor utgangspunktet må være at man skal slette med mindre det foreligger konkrete grunner for videre lagring. I praksis må det imidlertid aksepteres at arbeidsgiver etablerer en standard rutine som gjelder generelt ved fratreden, slik at det ikke er nødvendig å vurdere fra sak til sak når man skal slette. Slik vi har forstått er Statoils slettefrist begrunnet i behovet for en viss sikkerhetsmargin mot for tidlig sletting av informasjon Statoil egentlig burde ta vare på videre. Det er behov for en slags tidsmessig buffer for å kunne fange opp slike tilfeller. Det er også et behov begrunnet i at registrert sluttdato for eksempel for midlertidige ansatte eller underleverandører som går på tidsbestemte kontrakter ikke alltid er reell sluttdato. Det vil være svært uheldig om disse personene får slettet alt innholdet i e-postkassen som de egentlig skal bruke videre. Datatilsynet mener det er akseptabelt at Statoil rutinemessig lagrer innholdet i e-postkassen og på hjemmeområdet en viss tid etter arbeidsforholdets slutt. Hva som er en rimelig lagringstid før sletting, kan sikkert diskuteres. I departementets merknader til forskriften antydes det at sletting iallfall bør skje innen 6 måneder. Rettstekniske hensyn tilsier at dette utgjør en slags ytterkant for akseptabel lagringstid. Statoil sletter etter tre og en halv måned. Vi har ikke grunnlag for å si at dette representerer et brudd på 9-4. I praksis må arbeidsgiver gis et visst spillerom til selv å etablere en slettefrist, så lenge denne fremstår adekvat og rimelig. Vi har etter dette kommet til at Statoils rutine for sletting av innholdet ikke kommer i konflikt med personopplysningsforskriften 9-4. På generelt grunnlag vil vi anbefale Statoil å ta en ny vurdering av hva som er rimelig lagringstid ut fra den erfaring man har i praksis. Det kan tenkes at det å begrense den rutinemessige lagringstiden for alle som slutter til for eksempel 2 måneder, i praksis viser seg å være tilstrekkelig, og at man ikke vinner nevneverdig med lengre lagringstid. Statoils begrunnede erfaring bør her være førende. 9 av 9