Datatilsynet anser att det finns anledning att framföra allvarlig kritik mot att ett företag inte behandlat personuppgifter i enlighet med reglerna i dataskyddsförordningen (GDPR).
Av beslutet framgår att ett företag haft obehörig tillgång till en tidigare anställds personliga e-postkonto och laddat ner e-postmeddelanden för att säkra bevis i en civilrättslig process avseende en anställningstvist mellan företaget och den tidigare anställde.
Företaget informerade Datatilsynet om att den tidigare anställdes personuppgifter behandlats som en del av företagets berättigade intresse. Informationen från den tidigare anställdes privata e-postkonto användes för att åtala personen i ett civilrättsligt mål och för en polisanmälan.
Enligt Datatilsynet får en behandling av personuppgifter ske om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna tillgodose ett berättigat intresse, om inte den registrerades intressen eller de grundläggande fri- och rättigheter som kräver skydd av personuppgifter har företräde framför detta.
I den mån företaget kan utöva ett berättigat intresse genom att säkra information från den tidigare anställdes privata e-postkonto för användning i en civilrättslig process och en polisanmälan, till följd av en rimlig misstanke om att den tidigare anställde utförde konkurrerande arbete i strid med anställningsförhållandet, konstaterar Datatilsynet att företagets intresse inte går utöver övervägandet av den tidigare anställdes intresse av att hålla sitt privata e-postkonto privat.
Datatilsynet har i detta avseende betonat att det vid bedömningen av behandlingen måste beaktas att det rörde sig om ett personligt e-postkonto och således inte ett e-postkonto som arbetsgivaren hade till sitt förfogande. Vidare har Datatilsynet framhållit att utredningen och granskningen endast avsåg den tidigare anställdes arbetsdator, eftersom företaget av en slump upptäckte att det fortfarande fanns tillgång till den tidigare anställdes e-postkonto i webbläsaren på arbetsdatorn.
Vidare betonade Datatilsynet att företagets genomsökning av den tidigare anställdes privata e-postkonto kan antas ge ett antal e-postmeddelanden och sökresultat som inte hade något samband med den eventuella berättigade misstanken och således inte rörde företaget.
Mot denna bakgrund konstaterar Datatilsynet att behandlingen inte kunde ske inom ramen för ett berättigat intresse enligt artikel 6.1 (f) GDPR, och riktar allvarlig kritik mot företagets behandling av personuppgifter i samband med granskningen av den tidigare anställdes privata e-postkonto.