Datatilsynet har bötfällt ett företag med 100 000 norska kronor för överträdelse av artiklarna 6.1, 13 och 21 i dataskyddsförordningen (GDPR).
Av beslutet framgår att Datatilsynet engagerade sig i ärendet efter att ha fått både en anmälan om en personuppgiftsincident från ett företag och ett klagomål från en anställd i företaget. Bakgrunden till ärendet är att den anställde lämnat företaget. Den anställde skulle dock bistå företaget med vissa arbetsuppgifter efter uppsägningstiden. På grund av oenighet stängdes den anställdes tillgång till e-post och datasystem. Alla e-postmeddelanden som skickades till den anställdes e-postlåda vidarebefordrades automatiskt till en e-postadress som administrerades av den anställdes chef och vidarebefordran skedde under cirka sex veckor. Syftet med vidarebefordran var att ta hand om kundrelationerna, och under perioden hanterade den anställdes chef både arbetsrelaterade och privata e-postmeddelanden som skickades till den anställdes e-postlåda.
Enligt Datatilsynet har företaget inte haft en rättslig grund enligt artikel 6.1 GDPR för den automatiska vidarebefordran. Den automatiska vidarebefordran strider också enligt Datatilsynet mot reglerna i föreskrifterna om arbetsgivarens tillgång till e-postlådor och annat elektroniskt material. Företaget har dessutom agerat i strid med reglerna om information till den registrerade enligt artikel 13 GPDR och skyldigheten att bemöta den anställdes invändningar enligt artikel 21 GDPR.
Med utgångspunkt i detta har Datatilsynet beslutat att företaget ska förbättra sina skriftliga rutiner för tillgång till e-post, samt betala en sanktionsavgift på 100 000 norska kronor för den olovliga vidarebefordran. Företaget har tre veckor på sig att överklaga Datatilsynets beslut.