Flere virksomheter har tatt i bruk KI-verktøy som Microsoft 365 Copilot. Copilot er en stor språkmodell integrert i Microsoft-applikasjonene, og har ifølge Microsoft tilgang til alle arbeidsdata arbeidstakeren har tilgang til. Dette gjør det mulig for arbeidstaker potensielt å effektivisere arbeidet ved å bruke Copilot til en rekke oppgaver.
Mange arbeidstakere tror kanskje at samtalene med Copilot er private. Det stemmer som et utgangspunkt. Arbeidsgiver kan normalt ikke gjøre innsyn i arbeidstakers KI-chattelogg, ettersom dette utgjør et inngrep i arbeidstakers privatliv og personvern. Utgangspunktet er imidlertid ikke absolutt. Arbeidsgiver kan i enkelte situasjoner ha rett til innsyn i det arbeidstaker har skrevet til Copilot.
Forskrift om arbeidsgivers innsyn i e-postkasse og annet elektronisk lagret materiale, også kalt e-postforskriften, gitt med hjemmel i arbeidsmiljøloven § 9-5, regulerer når arbeidsgiver kan ha rett til slikt innsyn. Ettersom innsyn i arbeidstakers opplysninger i Copilot er et kontrolltiltak som innebærer behandling av personopplysninger, gjelder også personopplysningsloven og EUs personvernforordning (GDPR) ved siden av arbeidsmiljøloven. Det betyr at arbeidsgiver må overholde både innsynsreglene i e-postforskriften og kravene som følger av personvernlovgivningen dersom kontrolltiltak skal iverksettes.
Hvilke opplysninger kan arbeidsgiver få innsyn i?
Etter e-postforskriften § 1 første ledd bokstav a og b kan arbeidsgiver gjøre innsyn i opplysninger lagret i:
- E-postkasse som arbeidsgiver har stilt til arbeidstakers disposisjon til bruk i arbeidet
- Arbeidstakers personlige områder i virksomhetens datanettverk eller annet elektronisk utstyr som arbeidsgiver har stilt til arbeidstakers disposisjon til bruk i arbeidet
- Sikkerhetskopier eller tilsvarende for slike områder
Vilkårene angir eksplisitt hvilke lagringsplasseringer opplysningene må være lagret i for å omfattes av forskriftens virkeområde. Dette innebærer at arbeidsgiver potensielt kan få tilgang til et betydelig omfang av ulike typer opplysninger, så lenge de er lagret på en av de angitte lagringsplasseringene og de øvrige vilkårene i forskriften er oppfylt. Med fremveksten av KI-teknologi betyr dette at arbeidsgiver i enkelte tilfeller kan ha rett til innsyn i arbeidstakers KI-chattelogg.
KI-verktøy gir nye innsynsmuligheter
Når arbeidstaker samhandler med Copilot gjennom prompter (ledetråder), baseres svarene ifølge Microsoft på både språkmodellen og arbeidsdata arbeidstakeren har tilgang til. Svarene kan derfor inneholde referanser til dokumenter, e-poster og Teams-chatter.
Microsoft opplyser at denne samhandlingshistorikken lagres som meldingsobjekter i skjulte mapper i arbeidstakerens Exchange-postkasse. Disse skjulte mappene og historikken er ikke synlig for arbeidstakeren, men kan gjenfinnes av etterlevelsesadministratorer via Microsoft Purview og eDiscovery-verktøy.
Dette betyr at arbeidsgiver gjennom administratorer kan få tilgang til arbeidstakers KI-chattelogg, inkludert prompter og svar fra Copilot med referanser til arbeidsdata. Ettersom historikken lagres i Exchange-postkassen til arbeidstaker kan den videre anses som opplysninger lagret i «e-postkasse som arbeidsgiver har stilt til arbeidstakers disposisjon til bruk i arbeidet». Opplysningene kan dermed omfattes av e-postforskriftens virkeområde.
Når har arbeidsgiver rett til innsyn i arbeidstakers KI-chattelogg i Copilot?
E-postforskriften § 2 første ledd bokstav a og b gir arbeidsgiver rett til innsyn når det er:
- «Nødvendig for å ivareta den daglige driften eller andre berettigede interesser ved virksomheten» eller,
- «Begrunnet mistanke om at arbeidstakers bruk […] medfører grovt brudd på de plikter som følger av arbeidsforholdet eller kan gi grunnlag for oppsigelse eller avskjed»
Ordlyden i vilkårene er vid og skjønnsmessig, og det kan være krevende for arbeidsgiver å vurdere om vilkårene er oppfylt i en konkret situasjon. Feil vurdering kan medføre ulovlig inngripen i arbeidstakers personvern.
I tillegg til at e-postforskriftens vilkår og krav til fremgangsmåte må være oppfylt, må også personopplysningslovens og personvernforordningens vilkår og krav følges. Dette medfører at det foreligger en omfattende mengde plikter og krav hos arbeidsgiver som må følges i innsynssituasjoner i Copilot og andre KI-verktøy.
Dette betyr at for de virksomheter som ønsker å lære av hverandres prompter, bør det lages et felles rom der de ansatte som ønsker, aktivt kan dele vellykkede prompter. Da gjelder ikke lengre de strenge reglene i epostforskriften.
Artikkelen er skrevet av Henriette Holler Omdahl, skriveplasstudent i Føyen høsten 2025, med innspill fra advokatene Frøydis Rikardsen og Vebjørn Søndersrød
