Het sluiten van de e-mailaccount van een werknemer die het bedrijf heeft verlaten

Op 29 september 2020 heeft de Geschillenkamer van de Gegevensbeschermingsautoriteit (GBA) een onderneming die de e-mailadressen van werknemers die het bedrijf hadden verlaten, niet had gesloten, veroordeeld tot het betalen van een administratieve boete van 15.000 euro en tot het vastleggen van een beleidspolitiek met betrekking tot de afsluiting van de professionele e-mailaccounts.

Deze beslissing is genomen naar aanleiding van een klacht van een gedelegeerd bestuurder die uit zijn functie werd ontslagen. Hij had verzocht zijn e-mailadressen en die van zijn gezinsleden die geen functie meer binnen de onderneming bekleedden, te sluiten. Toen de onderneming hier geen gevolg aan gaf, diende hij een klacht in bij de GBA.

In de loop van het onderzoek door de Autoriteit, werd er vastgesteld dat:

1)  de e-mailadressen 2,5 jaar na het vertrek van de betrokken personen nog steeds actief waren;

2)  de bestemmelingen van de e-mails verstuurd via deze adressen, niet op de hoogte gebracht werden van het feit dat de verzenders niet langer de oorspronkelijke gebruikers waren, wat kon leiden tot het verzamelen en gebruiken van persoonlijke gegevens.

In haar beslissing was de GBA van mening dat de onderneming de beginselen van doelbinding, rechtmatigheid, minimale gegevensverwerking en opslagbewerking had geschonden. Ook oordeelt de GBA dat het in stand houden van e-mailadressen niet kon worden gerechtvaardigd door de vrees voor het verlies van belangrijke professionele berichten omwille van de functies van de betrokken personen en bij gebrek aan overdracht van lopende dossiers.

Dit geschil legt de nadruk op het vastleggen van richtlijnen door elke werkgever die geconfronteerd wordt met het vertrek van een werknemer, in het bijzonder m.b.t. :
–  de noodzaak om een intern handvest op te stellen met betrekking tot het gebruik van IT-instrumenten om de hypothese van de uittreding, van het ontslag of enige andere vorm van stopzetting van de activiteiten en de gevolgen ervan te regelen;
–  de verplichting in hoofde van de verwerkingsverantwoordelijke om de e-mailaccount van elke houder van wie de functie is beëindigd, ten laatste op de dag van zijn daadwerkelijke vertrek te blokkeren;
–  de verplichting van de verwerkingsverantwoordelijke om de houder van de e-mailaccount op de hoogte te stellen, alvorens tot blokkering over te gaan, en ervoor te zorgen dat een automatisch bericht wordt ingevoegd om elke volgende geadresseerde op de hoogte te stellen en hem/haar de contactgegevens te verstrekken van de persoon met wie contact moet worden opgenomen, dit alles gedurende een redelijke periode (tussen 1 en 3 maanden, afhankelijk van de omstandigheden).

Gezien het beginsel van verantwoordingsplicht is het aan de werkgever om aan te tonen dat deze maatregelen naar behoren zijn nageleefd.

Voor meer informatie over dit onderwerp kunt u contact opnemen met Mr Guillaume RUE (guillaume.rue@cairnlegal.be).

Met vriendelijke groeten
Het Cairn Legal Team