Den belgiska dataskyddsmyndigheten Gegevensbeschermingsautoriteit (GBA) utfärdar en reprimand mot en personuppgiftsansvarig för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att den registrerade var en tidigare anställd hos den personuppgiftsansvarige, en organisation som stödde vuxna personer med funktionshinder. För sitt arbete använde han en e-postadress utan direkta identifierare i cirka åtta år. E-postadressen användes ibland även privat.
Den 15 september 2020 fick den registrerade sparken. Den personuppgiftsansvarige stängde av den registrerades tillgång till e-postkontot genom att ändra lösenordet och radera användarkontot. Den 25 maj 2021 lämnade den registrerade in en begäran om tillgång till den personuppgiftsansvarige. Han begärde att få ta del av personuppgifterna i e-postkontot och dokument från sin anställningsakt. Han ville också få information om vad som hände med e-postkontot efter att han fått sparken.
Den 10 juni 2022 informerade den personuppgiftsansvarige den registrerade om att organisationen skulle använda sig av möjligheten i artikel 12.3 GDPR att förlänga tidsfristen för att svara med två månader på grund av begärans komplexitet. Den 24 augusti 2020 lämnade den personuppgiftsansvarige sitt svar på begäran om tillgång till information. Enligt den registrerade var dock den personuppgiftsansvariges svar inte tillräckligt.
Den 22 februari 2022 lämnade den registrerade in ett klagomål mot den personuppgiftsansvarige till GBA angående personuppgifterna i e-postkontot. Under förfarandet framkom att den registrerades e-postkonto, efter den 4 januari 2018, användes av andra anställda hos den personuppgiftsansvarige. Före denna tidpunkt var den registrerade den enda som använde e-postkontot.
Den 18 juli 2022 angav den personuppgiftsansvarige flera skäl till varför organisationen inte uppfyllde begäran om tillgång. Bland annat angav den personuppgiftsansvarige att e-postkontot inte innehöll några personuppgifter från början. Den personuppgiftsansvarige ansåg också att den registrerades begäran om att söka i 8 års e-postmeddelanden var överdriven. Den personuppgiftsansvarige vägrade också att ge tillgång för att skydda andra registrerades rättigheter och friheter.
Enligt den registrerade skulle den personuppgiftsansvarige dessutom endast få fortsätta att använda e-postkontot efter det att kontraktet avslutats med den registrerades samtycke, i enlighet med artikel 6.1 (a) GDPR. Den personuppgiftsansvarige höll inte med om detta argument.
För det första begränsade GBA räckvidden för begäran om tillgång till den registrerades e-postadress och den anslutna brevlådan, eftersom den registrerades ursprungliga klagomål till GBA inte innehöll någon hänvisning till andra personuppgifter eller dokument utanför e-postkontot.
För det andra bedömde GBA om själva e-postadressen var en personuppgift enligt artikel 4.1 GDPR. Med tanke på att detta var organisationens e-postadress och inte en personlig e-postadress innehöll den inga identifierare, såsom ett namn, som skulle göra den registrerade direkt identifierbar. E-postkontot var kopplat till tjänsten, inte till en person. Därför ansåg GBA att det var nödvändigt att fastställa om organisationens e-postadress innehöll några indirekta identifierare. GBA ansåg att det var nödvändigt att göra en åtskillnad mellan situationen före den 4 januari 2018 och situationen efter.
GBA drog slutsatsen att e-postadressen före den 4 januari 2018 utgjorde personuppgifter. Den registrerade hävdade att han varit den enda personen som använde denna e-postadress, och den personuppgiftsansvarige inte kunnat bevisa motsatsen. Med tanke på att den registrerade varit den enda som använde e-postadressen och undertecknat sina e-postmeddelanden med sitt personliga namn, var det möjligt för mottagarna att identifiera den registrerade som administratör av e-postkontot med tiden. Efter den 4 januari 2018 var e-postadressen dock inte längre en personuppgift, eftersom den personuppgiftsansvarige kunde bevisa att e-postadressen användes av flera anställda efter den 4 januari 2018. Därför var själva e-postadressen endast personuppgifter fram till den 4 januari 2018.
För det tredje svarade GBA på frågan om det fanns några personuppgifter i själva brevlådan. GBA ansåg att det måste göras en åtskillnad mellan personuppgifter som behandlas i den registrerades yrkesmässiga kapacitet och personuppgifter som behandlas utanför den yrkesmässiga kapaciteten, i detta fall i de förmodade privata e-postmeddelandena. Enligt GBA fanns det ingen tvekan om att det fanns personuppgifter om den registrerade i brevlådan från den tidpunkt då han hade agerat i sin yrkesroll. När det gäller personuppgifter utanför yrkesverksamheten ansåg GBA att den registrerade inte lämnat tillräckliga bevis för att bevisa att det fanns privata e-postmeddelanden i brevlådan. På grund av denna brist på bevis konstaterade GBA endast förekomsten av personuppgifter i samband med den yrkesmässiga kapaciteten.
För det fjärde bedömde GBA om begäran var överdriven. GBA höll med den personuppgiftsansvarige om att begäran om tillgång verkligen var överdriven. Den personuppgiftsansvarige skulle ha varit tvungen att söka igenom 8 års e-post i ett e-postkont som även använts av andra anställda efter den 4 januari 2018. Det fanns inte heller bevis för att det skulle finnas privata e-postmeddelanden från den registrerade i denna e-postlåda. Av dessa skäl kunde sådana privata e-postmeddelanden inte hämtas med rimliga ansträngningar. Dessutom innehöll e-postkontot en hel del känslig information om andra registrerade, bland annat hälsouppgifter om användare av den personuppgiftsansvariges tjänster, som vanligtvis var vuxna personer med funktionsnedsättning. Därför var den personuppgiftsansvariges vägran motiverad. GBA konstaterade dock att den personuppgiftsansvarige enligt artikel 12.5 GDPR måste förklara för den registrerade varför han vägrar att besvara begäran om tillgång. Den personuppgiftsansvarige hade därför brutit mot artikel 12.5 GDPR.
Slutligen ansåg GBA att den personuppgiftsansvarige inte behövde den registrerades samtycke för att fortsätta använda e-postkontot. GBA:s konstaterande att e-postadressen inte längre betraktades som en personuppgift efter det att kontraktet avslutats, varför ett samtycke inte var nödvändigt. Den personuppgiftsansvarige fick också tillåtelse att fortsätta använda e-postkontot i syfte att tillhandahålla kontinuitet för sin tjänst.
Mot bakgrund av ovanstående utfärdade GBA en reprimand mot den personuppgiftsansvarige för överträdelse av artikel 12.5 GDPR.