23/02/21

Bescherming van de privacy: wat te doen met de mailbox van een ex-werknemer?

Een werkgever (met een tiental werknemers) sluit de mailbox van een ex-werknemer niet af. De gegevensbeschermingsautoriteit (GBA) veroordeelt hem tot een boete van € 15.000. Welke lessen moeten we hieruit trekken?

De feiten

Een ex-werknemer stelt vast dat het nog altijd mogelijk is e-mails naar zijn vroegere professionele mailadressen te sturen. Om de bescherming van zijn privacy te waarborgen, maant hij zijn ex-werkgever aan om al zijn  vroegere professionele mailboxen te verwijderen.

Na 3 jaar zijn de vroegere mailadressen nog altijd niet gedeactiveerd door zijn ex-werkgever.

Hij wendt zich nadien tot de Gegevensbeschermingsautoriteit (GBA) om zijn ex-werkgever te laten veroordelen voor het onwettig gebruik van persoonsgegevens.

Argumenten van de werkgever

De werkgever voert de volgende argumenten ter verdediging aan:

  • zijn slechte kennis van de regels inzake gegevensbescherming;
  • alle inkomende berichten van de ex-werknemer werden doorgestuurd naar één persoon (administratief bediende) die het mailadres van de ex-werknemer bovendien nooit heeft gebruikt om berichten van derden te beantwoorden (heeft enkel gebruikgemaakt van zijn eigen mailadres);
  • het doorsturen van de mails had tot doel:
    • belangrijke mails van controle-instellingen in de sector (+ klanten, leveranciers, ...) niet te verliezen aangezien de ex-werknemer een sleutelpositie in de onderneming had;
    • gezien het overhaast vertrek van de ex-werknemer zonder samenstelling van een dossier voor zijn opvolgers, werden de e-mailarchieven uitsluitend voor professionele doeleinden geraadpleegd.

Herinnering van bepaalde principes door de Gegevensbeschermingsautoriteit (GBA) en beslissing
 

Finaliteitsbeginsel

Om de privacy van de werknemer te beschermen, moet de werkgever een rechtmatig doel nastreven wanneer hij toegang krijgt tot de mailbox van zijn ex-werknemer. 

Beginsel van de minimale gegevensverwerking en de opslagbeperking

Het beginsel van de minimale gegevensverwerking vereist dat de hoeveelheid verzamelde persoonsgegevens en de opslagperiode ervan worden beperkt tot wat strikt noodzakelijk is voor het  nagestreefde doel.

Beslissing

De GBA stelt een overtreding van bovengenoemde (en andere) beginselen vast. De mailbox had   onmiddellijk moeten worden afgesloten (of hoogstens drie maanden mogen worden bewaard met akkoord van de werknemer). Er moet voorrang worden gegeven aan een automatisch antwoord met doorverwijzing naar een andere persoon in plaats van het automatisch doorsturen van mails.

Enkele goede regels bij vertrek van een werknemer

Op basis van de beslissing van de GBA kunnen we een aantal 'good practices' vaststellen:

  • verwijder de mailbox van de ex-werknemer onmiddelijk op het tijdsstip van zijn effectief vertrek:
    • in geval van absolute noodzaak:
      • sluit het adres zo snel mogelijk af:  1 maand en hoogstens 3 maanden als  het een verantwoordelijke functie betreft en met akkoord van de betrokkene;
      • plaats een automatisch bericht dat elke volgende correspondent ervan verwittigt dat de werknemer niet meer in dienst is met vermelding van de contactgegevens van de personen met wie contact kan worden opgenomen in plaats van de berichten automatisch door te sturen naar een andere persoon;
      • gebruik nooit het professioneel mailadres op naam van een ex-werknemer (zelfs als het enkel initialen betreft);
  • geef in bepaalde gevallen voorrang aan het gebruik van een functioneel generiek mailadres;
  • bepaal een procedure bij vertrek van een werknemer op:
    • sluit het mailadres van de ex-werknemer af (of behoudt het in geval van absolute noodzaak onder voornoemde strikte voorwaarden);
      • indien mogelijk in de context van het vertrek:
        • geef de werknemer de tijd om zijn privémails te verwijderen alvorens de onderneming te verlaten;
        • als een gedeelte van de inhoud van zijn mailbox moet worden bewaard voor de goede werking van de onderneming, doe dit dan in overleg met de werknemer vóór zijn vertrek en in zijn aanwezigheid.
  • stel een intern charter (clausule van het arbeidsreglement) op om de contouren van het recht op bescherming van de persoonlijke levenssfeer te bepalen.

Variatie op hetzelfde thema

Het probleem van toegang tot de professionele mailbox stelt zich eveneens bij afwezigheid van een werknemer.

We verwijzen u naar ons vorige artikel : "Mag u de e-mails van uw personeel lezen?"
 

Bron: Beslissing ten gronde nr. 64/2020 van de Geschillenkamer van de GBA van 29 september 2020.

Van GABRIEL Stephanie - Legal advisor, op 22 februari 2021

dotted_texture