Arbetsgivare öppnar privat e-post - dataintrång

Hej och tack för att du har vänt dig till Lawline med dina frågor!

Allmänt sett: tillämpligt lagrum för situationen du beskriver, att någon olovligen bereder sig tillgång till e-post, är 4 kap. 9 c § Brottsbalken, BrB, Dataintrång.

BrB upptar ett pärlband av bestämmelser för att skydda den betydande trafik av meddelanden som är utmärkande för informationssamhället. Regleringen omfattar 4 kap. 8 § BrB, Brytande av post- eller telehemlighet, vilken täcker in och skyddar alla meddelanden och information under befordran, dvs. från det att det lämnats in för befordran tills det lämnats ut till mottagaren. Innan och efter det att meddelandet utlämnats, exempelvis när ett brev lämnats i adressatens bostad eller brevlåda, är det inte längre straffbart som brytande av post- eller telehemlighet att olovligen bereda sig till det. Detta kan dock utgöra intrång i förvar enligt 4 kap. 9 §. Vidare, om ett meddelande i elektronisk form utlämnats till mottagaren och innehåller uppgift som är avsedd för automatiserad behandling, kan det utgöra dataintrång enligt 4 kap. 9 c § att olovligen bereda sig tillgång till uppgiften. Här gör jag den bedömningen att det rör sig om dataintrång.

Majoriteten av domstolspraxis rör olika fall av användning av ej öppna IT-system för, t.ex., sökning i personregister hos Kriminalvården, polis-eller sjukvårdsväsendet (se Göta hovrätts dom i mål nummer B 2088-14; B 1976-14; B 991-13 samt B 3397-12). Mål som ligger närmare omständigheterna i vårt fall har dock också avgjorts. I Hovrättens för nedre Norrland dom den 28 maj 2014 i mål nummer B 489-14, uttalade domstolen att det stod klart att olovlig inloggning skett på annans konto hos Google med dennes lösenord. I fallet var det inte fråga om olovlig åtkomst till själva inloggningsuppgifterna och kontot hade åtkommits och använts med nyttjande av desamma. Snarlika omständigheter förelåg i Svea Hovrätts dom den 13 februari 2014 i mål nummer B 9064-13. I det fallet hade de tilltalade från dator olovligen loggat in i ett gymnasiums datasystem med en lärares användarnamn och lösenord och på så sätt berett sig tillgång till uppgifter avsedda för automatisk databehandling. Även Göta Hovrätts dom den 28 maj 2004, RH 2004:40, hade tillträde olovligen beretts till målsägandens hemsida efter det att lösenordet till sidan knäckts och även ändrats. Därtill hade målsägandens e-post olovligen åtkommits, e-post tagits del av samt skickats från målsägandens e-postadress. Inget i utredningen visade dock att den tilltalade haft del i knäckandet av något lösenord till målsägandens hemsida. I samtliga dessa fall rubricerades gärningarna som dataintrång.

Bestämmelsen i 4 kap. 9 c § stadgar i första meningen:

Den som olovligen bereder sig tillgång till en uppgift som är avsedd för automatiserad behandling eller olovligen ändrar, utplånar, blockerar eller i register för in en sådan uppgift döms för dataintrång

I ditt fall skulle det handla om att "olovligen bereda sig tillgång…" (understruket parti). Enligt förarbetena till bestämmelsen har det inte uppställts någon begränsning vad gäller syftet med ett sådant intrång som nu är ifråga (se Regeringens proposition 2006/07:66, Angrepp mot informationssystem, s. 23 samt rättsfallet NJA 2014 s. 221). Intrånget måste alltså inte ha företagits i ett visst syfte, dvs. inte för att, exempelvis, göra skada eller annars för att åstadkomma något visst – det är fullt tillräckligt för straffrättsligt ansvar att intrång faktiskt har ägt rum. För din del är det också av relevans att lagkommentaren särskilt understryker att straffansvar inte heller förutsätter att någon säkerhetsåtgärd kringgås. Med andra ord behöver e-postkontot inte hackas eller på motsvarande sett olovligen åtkommas; detta i linje med mål RH 2004:40 ovan, där utredningen inte visade att den tilltalade haft del i knäckandet av något lösenord till målsägandens hemsida men hen ändå dömdes för dataintrång.

Ett förfarande är vidare olovligt när det sker utan tillstånd av den som har rätt att förfoga över uppgiften och saknar stöd i gällande rätt (se prop. 2006/07:66 s. 23 och rättsfallet NJA 2014 s. 221).

Sammanfattningsvis står det alltså klart att förfarandet kunde aktualisera straffansvar för dataintrång. Situationen kompliceras dock av att vi rör oss i en arbetsrättslig kontext och vi ska för sakens skull utreda vad som gäller på det arbetsrättsliga området. Generellt sett har en arbetsgivare anledning att utarbeta regler och riktlinjer för vad som gäller för användningen av datorer och datanät samt behandling av personuppgifter i den egna organisationen. Arbetsgivaren har då också rätt att kontrollera om reglerna följs. Skulle det här ha varit fråga om att kontrollera arbetsrelaterad e-post, t.ex. i företagets eget domännamn, har arbetsgivaren alltid rätt att ta del av denna. Detta blir begripligt mot bakgrund av att du som arbetstagare har en grundläggande lojalitetsplikt gentemot din arbetsgivare och att arbetsgivaren tillåts att utöva viss kontroll mot illojala beteenden.

Rätten att kontrollera användningen av datorer etc innebär dock inte någon rätt för arbetsgivaren att ta del av innehållet i en enskild fil, till exempel att läsa privat e-post (se t.ex. Datainspektionens hemsida). Även privat e-post på det e-postkonto som arbetsgivaren tillhandahåller får normalt inte läsas - med undantag för det fallet att stark misstanke om illojalitet eller brottslighet föreligger. Det står alltså så långt klart att svaret på din första fråga är nej. Din arbetsgivare har inte rätt att öppna mail på ditt privata e-postkonto.

Vidare, angående din fråga nummer två, beror det på hur din arbetsgivare planerar att använda detta "emot dig". Avser arbetsgivaren att avskeda dig eller inleda rättegång?

Jag vet heller inte vilken typ av uppgifter som uppdagats här. Lojalitetsplikten mellan arbetsgivare och arbetstagare kan vara uttryckligen reglerad i anställningsavtalet mellan parterna eller tillämpligt kollektivavtal, i vilket fall innehållet i dessa konkreta stadganden får ge ledning i frågan huruvida lojalitetsbrott begåtts eller inte. I brist på sådana stadganden gäller allmän praxis på arbetsmarknaden. Ett generellt uttalande kan göras om vad lojalitetsplikten innefattar, nämligen, primärt, att inte bedriva konkurrerande verksamhet med utnyttjande av information som den anställde har fått genom sin anställning hos arbetsgivaren. Kommer ett lojalitetsbrott i dagen kan arbetsgivaren med lagen på sin sida avskeda den anställde.

I domstol är, vidare, enligt svensk rätt är i princip alla bevismedel tillåtna. Lagkommentaren till 35 kap. 1 § Rättegångsbalken, RB, stadgar att: "att ett bevis åtkommits eller upptagits i strid mot en viss rättsregel eller rättsgrundsats synes i princip inte utesluta att det får läggas fram i en rättegång och tillerkänns ett högt bevisvärde."

Sammanfattningsvis handlar det s.a.s. om "kolliderande" anspråk här, så att även om arbetsgivaren kan sägas ha "rätt" att använda detta emot dig har även du ett giltigt anspråk gentemot arbetsgivaren. Hovrätten uttalade i Göta Hovrätts dom i mål nummer B 1976-14 att brottet dataintrång kan innebära en så allvarlig kränkning genom angrepp på en persons frid att skadestånd ska utgå. I brist på närmare information om vilken typ av uppgifter som arbetsgivaren tagit del av här kan jag dock inte gå vidare i en sådan bedömning.

Jag hoppas att du med detta fått rättsläget klargjort för dig och önskar dig lycka till! Du är välkommen att höra av dig till mig om du har följdfrågor eller vill att jag sätter dig i kontakt med ett juridiskt ombud att representera dig vid eventuella förhandlingar med din arbetsgivare.

Vänligen,