Als de werkgever het e-mailadres van een van zijn voormalige werknemers behoudt...
Gepost op 14 december 2020Wanneer een werknemer vertrekt, wat de reden van zijn vertrek ook is, is het raadzaam om zijn mailbox snel af te sluiten volgens duidelijke voorwaarden, op straffe van toepassing van zware sancties, zoals de Geschillenkamer van de Gegevensbeschermingsautoriteit ons hieraan herinnert.
In een beslissing van 29 september 2020 veroordeelde de Geschillenkamer van de Belgische Gegevensbeschermingsautoriteit een vennootschap die de mailadressen van een van zijn voormalige managers meer dan twee jaar had bewaard.
De voormalige manager, die onmiddellijk werd ontslagen, had gevraagd om zijn mailadressen te sluiten omdat dit verwarring veroorzaakte en de vrees deed ontstaan voor illegaal gebruik van de mails die op deze account werden gevonden of die aankwamen na zijn vertrek.
In feite werd zijn mailadres met zijn naam en een ander adres met zijn initialen automatisch doorgestuurd naar een personeelslid die bovendien toegang had tot alle oude berichten zonder enige kennisgeving aan de personen die de berichten hadden verstuurd.
De Geschillenkamer onderzoekt het dossier en in het bijzonder de elementen die door de vennootschap worden vermeld om te rechtvaardigen dat de mailadressen zo lang open zijn gebleven.
De vennootschap stelt inderdaad dat, gezien het "plotse" vertrek van de manager, er geen overgang kon worden georganiseerd, en dat het behoud van de mailadressen zou toelaten om de hervatting van het management van de vennootschap te verzekeren.
Hij noemde ook het risico om belangrijke informatie te verliezen en het feit dat hij een certificering nodig had en dat een verandering van mailadres tot een verstoring van de activiteiten had kunnen leiden.
Bovendien erkende hij met betrekking tot het mailadres dat bestaat uit de initialen van de manager dat hij dacht dat de GDPR hier niet op van toepassing was.
In een met redenen omkleed besluit herinnert de Geschillenkamer aan de toepasselijke beginselen, namelijk:
1. een mailadres is een persoonsgegeven, of het nu de naam of de initialen bevat;
2. de verwerking van deze gegevens moet een doeleinde hebben (5.1 (b) GDPR) dat in ieder geval eindigt bij de beëindiging van de relatie;
3. de verwerking moet ook rechtmatig zijn (6 GDPR), wat niet meer het geval is na een korte termijn, na het einde van de relatie;
4. deze verwerking moet tot een minimum worden beperkt (5.1.c)) en proportioneel zijn aan het nagestreefde doeleinde;
5. daarom moet het mailadres van een werknemer onmiddellijk worden gesloten, ondanks het feit dat onder "legitiem belang" zijn instandhouding getolereerd kan worden voor een korte periode van een maand en zelfs tot drie maanden voor een persoon met belangrijke verantwoordelijkheden, en idealiter steeds met zijn akkoord bij een instandhouding van meer een maand.
6. op voorwaarde dat derden op de hoogte worden gebracht en via een automatisch bericht dat met name het vertrek, maar ook de nieuwe contactgegevens van de werknemer die is vertrokken, meedeelt.
Merk ook op dat het Hof eraan herinnert dat de medewerker de mogelijkheid moet hebben om al zijn privé-mails op te vragen.
In dit geval, rekening houdend met de (kleine) omvang van de onderneming en haar antwoorden, maar ook de zeer lange periode van de instandhouding en ook de afwezigheid van schade vastgesteld door de manager, geeft de Geschillenkamer een berisping aan de onderneming, vergezeld van een verplichting tot regularisatie en een boete van 15.000 euro.
Het lijdt geen twijfel dat veel bedrijven, zelfs gerenommeerde, er goed aan zouden doen om rekening te houden met deze beslissing, omdat het in stand houden van een mailadres in strijd met de bepalingen van het GDPR kan worden bestraft met een maximale boete van 20 miljoen euro of 4% van de omzet.
Een gewaarschuwd man …
Christophe Delmarcelle
Stichtende partner
Kantoor DEL-Law
Plaatsvervangend rechter bij de arbeidsrechtbank