Gegevensbeschermingsautoriteit (GBA) har utfärdat en sanktionsavgift på 8 500 euro mot en revisionsbyrå för olaglig behandling av en tidigare anställds yrkesmässiga e-postkonto efter anställningsförhållandets upphörande i strid med dataskyddsförordningen (GDPR).
Bakgrund
Den registrerade var en före detta anställd som avslutade sin anställning hos revisionsbyrån i juni 2021. Den 20 januari 2023 vidarebefordrade byrån ett e-postmeddelande till den registrerade som hade inkommit till dennes tidigare tjänsteadress. Meddelandet kom från en tredje part och rörde en utestående betalning. Den registrerade frågade varför e-postadressen fortfarande var aktiv och begärde att byrån skulle spärra den.
Den 24 januari 2023 lämnade den registrerade in ett klagomål till GBA avseende byråns behandling av e-postadressen och tillhörande brevlåda efter anställningsförhållandets upphörande, samt byråns underlåtenhet att besvara raderingsbegäran.
Byrån anförde att den med stöd av berättigat intresse enligt artikel 6.1 (f) GDPR hade rätt att behålla och bereda sig tillgång till e-postadressen och brevlådan i upp till tre år efter anställningens upphörande, i enlighet med en integritetspolicy bifogad anställningsavtalet. Som grund för lagringen angavs behovet av att iaktta lagstadgade preskriptions- och skatterevisionstider samt att kunna redogöra för vidtagna åtgärder gentemot kunder och tillsynsmyndigheter. Byrån hävdade därutöver att den registrerade hade lämnat sitt samtycke till behandlingen genom undertecknandet av anställningsavtalet.
Myndighetens bedömning
GBA konstaterade inledningsvis att en yrkesmässig e-postadress och innehållet i tillhörande brevlåda utgör personuppgifter enligt artikel 4.1 GDPR, eftersom adressen innehåller den anställdes namn och möjliggör direkt identifiering.
GBA konstaterade vidare att behandling av en yrkesmässig e-postadress är förenlig med artikel 6.1 (b) GDPR under anställningstiden, men att denna rättsliga grund inte längre är tillämplig efter anställningsförhållandets upphörande. GBA erkände att en personuppgiftsansvarig kan ha ett begränsat berättigat intresse enligt artikel 6.1 (f) GDPR av att hålla en tidigare anställds e-postadress aktiv under en kort period, enbart i syfte att skicka ett automatiskt svar till avsändare. Ett sådant svar får normalt vara aktivt i en månad och kan, om särskilda omständigheter motiverar det, förlängas med ytterligare upp till två månader, dock sammanlagt högst tre månader varefter både e-postadressen och brevlådan raderas permanent.
GBA fann att e-postadressen var aktiv till åtminstone den 19 april 2023 och att byrån under denna period vid flera tillfällen hade tagit del av privata meddelanden avsedda för den registrerade, utan att ha ställt in något automatiskt svar. Att samma borgenär kontaktade den gamla adressen i april 2022 och igen i januari 2023 visade att borgenären inte hade informerats om avgången. GBA fann också att relevant affärsinformation borde ha hämtats från brevlådan före anställningens upphörande och lagrats i byråns egna system, och att e-postadressen inte kunde tjäna som ersättning för ett korrekt arkiveringssystem.
GBA avvisade byråns argument om berättigat intresse. Enligt GBA kan åtkomst till privat korrespondens avsedd för den registrerade inte utgöra ett legitimt ändamål, dels eftersom sådan åtkomst stred mot den belgiska lagen om elektronisk kommunikation, dels eftersom den kunde vara straffbar enligt belgisk straffrätt. Byrån uppfyllde inte heller nödvändighetstestet, eftersom brevlådan bevarades under en onödigt lång period.
GBA avvisade även byråns argument om samtycke. Med hänvisning till artikel 4.11 och artikel 7 GDPR samt skäl 43 konstaterade GBA att den maktasymmetri som är inneboende i ett anställningsförhållande innebär att samtycke lämnat vid anställningens ingående inte kan anses ha lämnats frivilligt. GBA noterade dessutom att byråns egen integritetspolicy angav berättigat intresse – inte samtycke – som rättslig grund för e-postrelaterad behandling.
GBA fann överträdelser av principen om laglighet, korrekthet och öppenhet enligt artikel 5.1 a GDPR, jämförd med artikel 6.1 GDPR, samt brott mot artiklarna 12.2, 12.3 och 17 GDPR avseende rätten till radering. GBA fann vidare brott mot artiklarna 5.2, 24.1 och 25.1 GDPR, eftersom byrån inte hade vidtagit lämpliga tekniska och organisatoriska åtgärder för att säkerställa laglig behandling eller för att underlätta utövandet av de registrerades rättigheter.
GBA ålade byrån att omedelbart upphöra med behandlingen och att permanent radera e-postadressen och brevlådans innehåll inom 30 dagar. GBA utfärdade en tillrättavisning för överträdelserna av artiklarna 5.2, 24.1 och 25.1 GDPR samt en sanktionsavgift om 8 500 euro för den otillåtna behandlingen enligt artiklarna 5.1 a och 6.1 GDPR. Vid fastställandet av avgiftens storlek vägde GBA in att överträdelsen avsåg den grundläggande principen om laglighet, att behandlingen pågått i minst 21 månader, att byråns policy var systematisk till sin natur och sannolikt berörde fler tidigare anställda, samt att byrån inte hade vidtagit några åtgärder för att begränsa skadan innan GBA ingrep.
Praktiska konsekvenser
Beslutet klargör under vilka förutsättningar en tidigare anställds yrkesmässiga e-postadress får behållas efter anställningens upphörande. Den rättsliga grunden för behandling under anställningstiden – fullgörande av anställningsavtal enligt artikel 6.1 (b) GDPR – upphör att gälla när anställningsförhållandet avslutas. Det enda som därefter kan motivera att adressen hålls aktiv är ett begränsat berättigat intresse av att skicka automatiska svar under högst tre månader.
En komplex fråga för arbetsgivare är hur affärsinformation som finns i en anställds e-postkonto ska hanteras vid avslutad anställning. GBA:s bedömning visar att information av affärsmässig betydelse ska hämtas och arkiveras i arbetsgivarens egna system innan anställningen avslutas – helst i den anställdes närvaro – och att e-postkontot inte kan användas som ett löpande arkiv efter avgången.
Beslutet belyser också svårigheterna med att använda samtycke som rättslig grund i anställningsförhållanden. GBA konstaterade att samtycke som inhämtas vid anställningens ingång inte kan anses vara frivilligt givet mot bakgrund av den maktbalans som råder mellan arbetsgivare och arbetstagare. Att samtycke angavs som rättslig grund i anställningsavtalet var därmed inte tillräckligt för att legitimera behandlingen av e-postkontot efter anställningens upphörande.
Kontakta oss
TechLaw bistår verksamheter med juridisk rådgivning i frågor som rör behandling av anställdas personuppgifter, hantering av e-postkonton vid avslutade anställningar och regelefterlevnad enligt GDPR. Läs mer om vår expertis inom dataskydd och integritet.
Har ni frågor om dataskydd, GDPR eller IT-rättsliga frågor är ni välkomna att kontakta Carina Berg, partner och jurist specialiserad inom dataskydd och affärsjuridik i teknikintensiva verksamheter.
Källa: GBA.