Op 29 september 2020 legde de Gegevensbeschermingsautoriteit (GBA) een onderneming een geldboete van 15.000,00 EUR op nadat deze de e-mailadressen van een ex-werknemer bijna 3 jaar na diens ontslag nog steeds niet afgesloten had. De onderneming had bovendien nagelaten om een auto-reply waarschuwingsbericht in te stellen en kon aldus inkomende berichten blijven lezen.
De feiten van de zaak kunnen als volgt samengevat worden:
De onderneming is een bedrijf dat oorspronkelijk een familiebedrijf was. De ex-werknemer was de CEO van het bedrijf dat destijds door zijn vader werd opgericht. Op 16 november 2016 wordt de werknemer ontslagen met onmiddellijke ingang.
Enkele jaren later merkt de ontslagen werknemer op dat zijn twee oude e-mailadressen samen met vijf e-mailadressen van andere familieleden die niet meer binnen de onderneming werkzaam waren, nog steeds in gebruik waren. Na enkele aangetekende brieven over en weer te sturen blijkt dat de onderneming, ondanks andersluidende garanties, toch nog steeds drie van de zeven e-mailadressen actief had staan.
Ten aanzien van de Inspectiedienst van de GBA verklaarde de onderneming dat ze de drie e-mailadressen vanaf november 2019 gedeactiveerd hadden, maar nog steeds alle inkomende e-mails automatisch doorstuurden om te vermijden dat er belangrijke mails van leveranciers of klanten verloren zouden gaan.
De Inspectiedienst zelf concludeert in diens rapport dat het aanbevolen is om de elektronische postbus van de werknemer na zijn uitdiensttreding zo snel mogelijk, en na het plaatsen van een automatisch waarschuwingsbericht met vermelding dat de werknemer zijn functie heeft verlaten, te blokkeren. Bovendien moet de elektronische postbus na verstrijken van een redelijke termijn (van 1 maand) verwijderd worden. De Inspectiedienst voegt hieraan toe dat indien deze werkwijze niet gevolgd zou worden, de onderneming in kwestie zonder medeweten van de afzenders persoonsgegevens zou kunnen verzamelen en gebruiken.
Uiteindelijk komt de zaak voor de Geschillenkamer van de GBA die in de eerste plaats nagaat of de verwerkingsverantwoordelijke werkgever de klassieke beginselen inzake verwerking van persoonsgegevens uit de GDPR heeft nageleefd.
Op een gelijkaardige manier als de Inspectiedienst besluit de Geschillenkamer dat slechts aan voornoemde beginselen voldaan is voor zover de werkgever :
Dit waarschuwingsbericht kan in principe voor een maximumperiode van één maand behouden blijven. Deze periode kan echter afhankelijk van de specifieke context en de mate van verantwoordelijkheid van de werknemer tot een maximum van “idealiter” 3 maanden verlengd worden. Ingeval van verlenging moet de werkgever bij voorkeur de toestemming van de werknemer krijgen (bijvoorbeeld zo te voorzien in een beëindigingsovereenkomst). Minstens moet de werknemer op een gemotiveerde wijze op de hoogte gebracht worden van dergelijke verlenging en dient er zo snel mogelijk naar een alternatieve oplossing gezocht worden.
Eéns deze maximumperiode (met het waarschuwingsbericht) verstreken is, moet de elektronische postbus van de betrokkene definitief verwijderd worden. De Geschillenkamer expliciteerde trouwens ook dat de werkgever bovenstaand omschreven procedure spontaan moet volgen. Een schriftelijk verzoek van de ex-werknemer is dus niet vereist.
Bij de beoordeling van de kennisname van de e-mails zelf, voegt de Geschillenkamer bovendien 3 bijkomende voorwaarden toe:
Hoewel deze strenge benadering mogelijk nog tot discussies kan leiden in de rechtspraak en rechtsleer, illustreert deze beslissing van de GBA toch het belang van een correct opgestelde ICT-policy (en van goede afspraken bij het vertrek van een werknemer). Bij gebreke van dergelijke regeling, riskeert u als onderneming fikse boetes. Deze kunnen op basis van de GDPR theoretisch oplopen tot een maximum van 20 miljoen EUR of tot 4% van de totale wereldwijde jaaromzet in het voorgaande boekjaar (indien dit hoger zou zijn).
De ICT-Policy moet daarenboven niet alleen rekening houden met de verplichtingen op het vlak van GDPR (zoals geïllustreerd in bovenstaande beslissing van de Gegevensbeschermingsautoriteit), maar ook met het recht op privacy van de werknemer (zoals verder uitgewerkt in o.a. art. 8 EVRM, CAO nr. 81, de Telecommunicatiewet en zelfs het strafwetboek).
Heeft u verdere vragen over dit thema? Contacteer Sara Cockx (hoofd vakgroep Privacy & Gegevensbescherming) of Kiandro Lebon (auteur).