Mailbox van een ontslagen werknemer openhouden? U riskeert een fikse GDPR boete!

Mailbox van een ontslagen werknemer openhouden? U riskeert een fikse GDPR boete!

Op 29 september 2020 legde de Gegevensbeschermingsautoriteit (GBA) een onderneming een geldboete van 15.000,00 EUR op nadat deze de e-mailadressen van een ex-werknemer bijna 3 jaar na diens ontslag nog steeds niet afgesloten had. De onderneming had bovendien nagelaten om een auto-reply waarschuwingsbericht in te stellen en kon aldus inkomende berichten blijven lezen.

De feiten van de zaak kunnen als volgt samengevat worden:

De onderneming is een bedrijf dat oorspronkelijk een familiebedrijf was. De ex-werknemer was de CEO van het bedrijf dat destijds door zijn vader werd opgericht. Op 16 november 2016 wordt de werknemer ontslagen met onmiddellijke ingang.

Enkele jaren later merkt de ontslagen werknemer op dat zijn twee oude e-mailadressen samen met vijf e-mailadressen van andere familieleden die niet meer binnen de onderneming werkzaam waren, nog steeds in gebruik waren. Na enkele aangetekende brieven over en weer te sturen blijkt dat de onderneming, ondanks andersluidende garanties, toch nog steeds drie van de zeven e-mailadressen actief had staan.

Ten aanzien van de Inspectiedienst van de GBA verklaarde de onderneming dat ze de drie e-mailadressen vanaf november 2019 gedeactiveerd hadden, maar nog steeds alle inkomende e-mails automatisch doorstuurden om te vermijden dat er belangrijke mails van leveranciers of klanten verloren zouden gaan.

De Inspectiedienst zelf concludeert in diens rapport dat het aanbevolen is om de elektronische postbus van de werknemer na zijn uitdiensttreding zo snel mogelijk, en na het plaatsen van een automatisch waarschuwingsbericht met vermelding dat de werknemer zijn functie heeft verlaten, te blokkeren. Bovendien moet de elektronische postbus na verstrijken van een redelijke termijn (van 1 maand) verwijderd worden. De Inspectiedienst voegt hieraan toe dat indien deze werkwijze niet gevolgd zou worden, de onderneming in kwestie zonder medeweten van de afzenders persoonsgegevens zou kunnen verzamelen en gebruiken.

Uiteindelijk komt de zaak voor de Geschillenkamer van de GBA die in de eerste plaats nagaat of de verwerkingsverantwoordelijke werkgever de klassieke beginselen inzake verwerking van persoonsgegevens uit de GDPR heeft nageleefd. 

Op een gelijkaardige manier als de Inspectiedienst besluit de Geschillenkamer dat slechts aan voornoemde beginselen voldaan is voor zover de werkgever :

  • het professionele e-mailadres van de werknemer, uiterlijk op de dag van de daadwerkelijke uitdiensttreding blokkeert :
  • vooraleer het account te blokkeren, een automatisch waarschuwingsbericht voor het e-mailadres van de werknemer instelt waarbij afzenders :
    • geïnformeerd en gewaarschuwd worden over het feit dat de werknemer zijn functie binnen het bedrijf niet meer uitoefent ;
    • de contactgegevens meegedeeld krijgen van de persoon of het algemene e-mailadres dat hij/zij in de plaats moeten contacteren.

Dit waarschuwingsbericht kan in principe voor een maximumperiode van één maand behouden blijven. Deze periode kan echter afhankelijk van de specifieke context en de mate van verantwoordelijkheid van de werknemer tot een maximum van “idealiter” 3 maanden verlengd worden. Ingeval van verlenging moet de werkgever bij voorkeur de toestemming van de werknemer krijgen (bijvoorbeeld zo te voorzien in een beëindigingsovereenkomst). Minstens moet de werknemer op een gemotiveerde wijze op de hoogte gebracht worden van dergelijke verlenging en dient er zo snel mogelijk naar een alternatieve oplossing gezocht worden.

Eéns deze maximumperiode (met het waarschuwingsbericht) verstreken is, moet de elektronische postbus van de betrokkene definitief verwijderd worden. De Geschillenkamer expliciteerde trouwens ook dat de werkgever bovenstaand omschreven procedure spontaan moet volgen. Een schriftelijk verzoek van de ex-werknemer is dus niet vereist.

Bij de beoordeling van de kennisname van de e-mails zelf, voegt de Geschillenkamer bovendien 3 bijkomende voorwaarden toe:  

  • Om te beginnen moet de werkgever, de werknemer op de hoogte brengen van het feit dat hij het e-mailadres zal blokkeren zodat de werknemer de kans heeft om eventuele privé-berichten te sorteren en deze desgevallend kan doorsturen naar zijn/haar privé e-mailadres(sen). 
  • Verder moet de werkgever die een deel van de inhoud van de mailbox met het oog op de goede werking van de onderneming wenst bij te houden, dit doen voor het vertrek én in aanwezigheid van de werknemer in kwestie. De Geschillenkamer raadt de tussenkomst van een vertrouwenspersoon aan ingeval er hieromtrent een betwisting zou rijzen.
  • Tenslotte, en wellicht het meest belangrijk voor de praktijk, verplicht de Geschillenkamer (elke) werkgever  om de hypothese van ontslag of enige andere vorm van uitdiensttreding en de gevolgen daarvan in een interne policy rond het gebruik van IT-hulpmiddelen te regelen.

Hoewel deze strenge benadering mogelijk nog tot discussies kan leiden in de rechtspraak en rechtsleer, illustreert deze beslissing van de GBA toch het belang van een correct opgestelde ICT-policy (en van goede afspraken bij het vertrek van een werknemer). Bij gebreke van dergelijke regeling, riskeert u als onderneming fikse boetes. Deze kunnen op basis van de GDPR theoretisch oplopen tot een maximum van 20 miljoen EUR of tot 4% van de totale wereldwijde jaaromzet in het voorgaande boekjaar (indien dit hoger zou zijn). 

De ICT-Policy moet daarenboven niet alleen rekening houden met de verplichtingen op het vlak van GDPR (zoals geïllustreerd in bovenstaande beslissing van de Gegevensbeschermingsautoriteit), maar ook met het recht op privacy van de werknemer (zoals verder uitgewerkt in o.a. art. 8 EVRM, CAO nr. 81, de Telecommunicatiewet en zelfs het strafwetboek).

Heeft u verdere vragen over dit thema? Contacteer Sara Cockx (hoofd vakgroep Privacy & Gegevensbescherming) of Kiandro Lebon (auteur).