Artikkelen ble sist oppdatert kl 12.05.
Datatilsynet ilegger et gebyr på 150.000 kroner og slår fast at NTNU ikke har redegjort for hvorfor de skulle ha en begrunnet mistanke til å gå inn i epostkontoen, melder Khrono.
Tilsynet skriver at det dreier seg om et alvorlig personvernbrudd. Brevet NTNU og Eikrem har mottatt er datert mandag 29.november, altså to dager før NTNU-styret behandlet avskjedssaken mot Eikrem. Partene mottok brevet i ordinær post fredag 3.desember, dagen etter at NTNU inngikk en avtale om forlik med Eikrem.
Eikrem og NTNU kom til forlik som endte med at førsteamanuensen sa opp og avskjedssaken ble avsluttet.
- Alvorlig konklusjon
Ole Martin Moe, juridisk rådgiver i Datatilsynet, sier til UA at Datatilsynet på grunn av taushetsplikt kun kan gå ut med begrenset informasjon i saken.
–Hvor alvorlig er det som har skjedd i denne saken?
– Vår foreløpige konklusjon er at NTNU har gjort innsyn uten rettslig grunnlag. Hvis dette blir konklusjonen i vårt endelige vedtak er det alvorlig, fordi innsyn i e-postkasse er et stort inngrep i personvernet til både arbeidstakeren og tredjeparter som har sendt arbeidstakeren e-post, sier Moe.
Han sier innsyn i ansattes epostkasse eller annet elektronisk utstyr hos virksomheten er et svært inngripende tiltak overfor en arbeidstaker.
– Det må derfor skje innenfor de rammene som følger av e-postforskriften og personvernforordningens regler, sier han.
Han sier at Datatilsynet ikke har endelig konkludert i saken, men har sendt universitetet et forhåndsvarsel som de nå har fire uker på seg til å kommentere.
– Hvor stor er sannsynligheten for at NTNU kommer med opplysninger som kan endre saken?
– Det kan vi ikke si noe om sannsynligheten for. Nå har NTNU fire uker på å komme med sine merknader til varselet, og så må vi gjennomgå merknadene deres før vi fatter en endelig avgjørelse i saken, sier Moe.
Sier NTNU mottok varselet 3. desember
Han sier behandlingen har tatt så lang tid fordi Datatilsynet har stor saksmengde og begrensede ressurser.
- Hvor ofte skjer det at arbeidsgiver går inn i eposten til ansatte uten å ha fått lov?
– Datatilsynet får mange klager hvert år som gjelder arbeidsgivere som har gjort innsyn i eller videresender ansattes e-postkasse. Personvern i arbeidslivet utgjør en stor del av henvendelsene til tilsynet.
Brevet fra Datatilsynet kom til NTNU dagen etter styrebehandlingen av saken mot Eikrem.
- Fikk NTNU vite om utfallet av behandlingen før fredag 3. desember?
– NTNU mottok varselet 3. desember, svarer Moe.
Enig i Datatilsynets vedtak
Øyvind Eikrem sier til UA at han hele tiden har ment at dette var et ulovlig inngrep fra NTNUs side.
– Jeg viser til mine uttalelser om dette fra i fjor. Vårt synspunkt på denne saken er det samme som Datatilsynets synspunkt, sier Eikrem.
Han tilføyer at han nå vil se framover og legge denne saken bak seg.
Les også: - Dagens forskrift gir arbeidsgivere ganske stort spillerom for å foreta innsyn i e-postkasser når de har stilt utstyret til disposisjon for ansatte.
NTNU og deres advokater tok seg i fjor sommer inn i Eikrems epostkonto og åpnet 80 eposter. Eikrem og hans advokater protesterte på det.
NTNU gjorde undersøkelsene for å finne bevis for at Eikrem sto bak kontoen på sosiale medier som har blant annet gått under Einar Tamburi, som postet rasistisk innhold, noe Eikrem har avvist.
Organisasjonsdirektør tar beslutningen
NTNUs IKT-reglement sier blant annet følgende om Innsyn:
«NTNU har som arbeidsgiver innen rammen av regelverket, rett til innsyn i arbeidstakers e-postkasse og brukerkonto mv. Arbeidstaker så langt mulig skal varsles og få anledning til å uttale seg før innsyn gjennomføres, og arbeidstaker skal som hovedregel ha rett til å være til stede under innsynet. Arbeidstaker har rett til å la seg bistå av tillitsvalgt eller annen representant.»
Det poengteres også at begjæring om innsyn i ansattes e-postkasse fremmes av øverste leder ved enheten, men det er organisasjonsdirektør som tar endelig beslutning. Det var Ida Munkeby som var organisasjonsdirektør på dette tidspunktet.
«Dersom det skulle vise seg at du har brutt IKT-reglementet og står bak de anonyme Facebook-profilene, på tross av at du har benektet dette, vil forholdet kunne gi grunnlag for oppsigelse eller avskjed», skrev daværende dekan ved SU-fakultetet, Marit Reitan til Eikrem i 2020.
Les også: Eikrem tør ikke bruke privat epost på jobb.
- Overtredelsene betraktes som alvorlige
«Å gjøre innsyn uten rettslig grunnlag innebærer et alvorlig brudd på klagers personvernrettigheter», skriver Datatilsynet i brevet tilsendt partene.
De legger, ifølge Khrono, det til som skjerpende at det er gjort innsyn i mange e-poster. Det skal ha blitt åpnet 80 ulike e-poster. 30 ble vurdert som relevante og 4 som private. Datatilsynet fortsetter:
«Når grunnleggende regler for beskyttelse av arbeidstakers personvern er tilsidesatt slik det er i denne saken må overtredelsene betraktes som alvorlige».
- Ikke et endelig vedtak
Til Khrono poengterer fungerende organisasjonsdirektør ved NTNU Roar Tobro at det ikke foreligger noe endelig vedtak fra Datatilsynet her. Eikrem har i alt klaget inn på fire punkter.
Tre av klagene gjaldt arbeidsgivers behandling av personopplysninger, disse har ikke fått mehold. I den fjerde saken har Datatilsynet gitt et forhåndsvarsel om vedtak som NTNU har anledning til å svare på.
— Vi registrerer samtidig at Datatilsynet har et annet syn enn det NTNU har hatt på det juridiske grunnlaget for innsyn i Eikrems epostkonto, og vi vil derfor trenge noe tid på å gå gjennom Datatilsynet sin argumentasjon, svarer Tobro til Khrono.
Han presiserer også at de ikke hadde kjennskap til vedtaket før NTNU inngikk forlik med Eikrem.