Boete vermijden? Sluit e-mail van ex-werknemers tijdig af!
De Gegevensbeschermingsautoriteit (GBA) heeft een KMO een boete opgelegd van 15.000 EUR wegens het niet tijdig afsluiten van de e-mailadressen van ex-werknemers.
De onderneming had ook nagelaten om een auto-reply waarschuwingsbericht in te stellen.
Niet tijdig afsluiten mail = inbreuk basisprincipes GDPR
Volgens de GBA vormt het behouden van het e-mailadres en mailaccount na vertrek van de werknemer een inbreuk op de basisprincipes van de GDPR (General Data Protection Regulation). Denk hier aan:
- het legaliteitsbeginsel;
- het proportionaliteitsbeginsel;
- het finaliteitsbeginsel;
- de minimale gegevensverwerking;
- de opslagbeperking.
Door het niet tijdig afsluiten van het e-mailadres van de ex-werknemer kon de onderneming alle inkomende berichten blijven lezen. Dit tot bijna 3 jaar na vertrek van de ex-werknemer.
Het automatisch doorsturen van e-mails naar een ander mailadres volstaat niet volgens de GBA. In dat geval kunnen anderen immers privé-informatie van zowel betrokkene als zijn correspondent te weten komen.
Tijdig afsluiten mail met voorafgaand auto-reply bericht = GDPR-conform
De werkgever voldoet aan de basisprincipes van de GDPR als hij:
✔️ het e-mailaccount van een werknemer blokkeert bij diens vertrek;
✔️ voorafgaand een automatisch bericht instelt dat gedurende een redelijke termijn laat weten dat de werknemer niet langer in dienst is.
De werkgever kan dit eventueel aanvullen met de gegevens van diegene tot wie de correspondent zich kan richten.
De GBA beschouwt 1 maand als een redelijke termijn.
Afhankelijk van de functie van de ex-werknemer kan deze termijn verlengd worden. In dat geval is toestemming van betrokkene nodig of moet hij minstens op de hoogte gebracht zijn.
Idealiter bedraagt de termijn niet meer dan 3 maanden. De werkgever moet het e-mailaccount na deze termijn verwijderen. In geen enkel geval mag de onderneming het professionele e-mailadres van de ex-werknemer nog gebruiken.
Bewijs
De werkgever moet kunnen aantonen dat de GDPR-principes in de onderneming zijn nageleefd.
Een goed uitgewerkte procedure in de ICT-policy over e-mail bij vertrek van een werknemer kan helpen om toekomstige problemen en mogelijke boetes te vermijden.
Gevolgen voor de werkgever
Voorzie in een intern document een goede procedure rond het gebruik van IT-instrumenten bij vertrek van een werknemer. Dit vermijdt toekomstige problemen en mogelijke boetes.
Case
Inhoud
1. Feiten
2. Beslissing Gegevensbeschermingsautoriteit: geldboete van 15.000 EUR
3. Hoe moet het dan wel?
1. Feiten
De directeur van een kleine onderneming werd ontslagen. Hij speelde een sleutelrol in het bedrijf. De samenwerking eindigde abrupt. Er was dan ook geen opvolging van dossiers voorzien.
Na verloop van tijd merkte hij dat het e-mailadres op zijn naam nog in gebruik was in de onderneming. Dat was ook het geval voor de e-mailadressen van enkele familieleden die ondertussen het bedrijf al hadden verlaten.
Ondanks meerdere verzoeken van de ex-werknemer om al de e-mailadressen en -accounts af te sluiten, gebeurde dit niet. Ook al had betrokkene al bijna 3 jaar de onderneming verlaten.
Wel liet de onderneming inkomende e-mails automatisch doorsturen naar een algemeen mailadres. Dit om te vermijden dat er belangrijke mails van leveranciers of klanten verloren zouden gaan.
Bemiddeling tussen de partijen mislukte. Uiteindelijk kwam de zaak voor de Geschillenkamer van de Gegevensbeschermingsautoriteit.
2. Beslissing Gegevensbeschermingsautoriteit: geldboete van 15.000 EUR
Het is belangrijk dat bedrijven voldoen aan de basisprincipes van de GDPR. Denk hier aan:
- het legaliteitsbeginsel;
- het proportionaliteitsbeginsel;
- het finaliteitsbeginsel;
- minimale gegevensverwerking;
- de opslagbeperking.
De onderneming schendt deze basisprincipes door het:
- niet tijdig afsluiten van het e-mailadres van een werknemer nadat de samenwerking eindigde.
De onderneming had het e-mailadres van de ex-werknemer bijna 3 jaar na zijn ontslag nog steeds niet afgesloten. - nalaten van het instellen van een auto-reply waarschuwingsbericht.
De onderneming wilde vermijden dat er belangrijke mails van leveranciers of klanten verloren zouden gaan. Dit is echter geen afdoende reden.
De Gegevensbeschermingsautoriteit legde de onderneming daarom een geldboete van 15.000 EUR op.
3. Hoe moet het dan wel?
Bij het vertrek van een werknemer, volgt een werkgever best enkele specifieke regels op. Zo voldoet hij aan de basisprincipes van de GDPR.
Het betreft volgende regels:
- uiterlijk bij vertrek van de werknemer moet de werkgever het e-mailaccount van de betrokkene deactiveren;
- deze deactivering gebeurt nadat:
- de werknemer hiervan op de hoogte gebracht is; en
- voorzien is in een automatisch bericht waarbij men meldt dat betrokkene de onderneming heeft verlaten. Ook de contactgegevens van diegene waarmee de correspondent contact kan opnemen, kan men hierin vermelden
- de werknemer moet vóór de afsluiting van zijn account de kans krijgen zijn e-mails te sorteren en door te sturen naar zijn privé e-mailadres;
- e-mails die van belang zijn voor de goede werking van de onderneming moet de werkgever recupereren vóór het vertrek van de werknemer en in zijn aanwezigheid.
Bij betwisting is de tussenkomst van een vertrouwenspersoon aanbevolen. - na een redelijke termijn moet de werkgever de mailbox van betrokkene verwijderen.
Afhankelijk van de functie van betrokkene kan deze redelijke termijn verschillen. In principe bedraagt deze 1 maand.
Men kan deze termijn verlengen. Bij voorkeur blijft de termijn beperkt tot maximum 3 maanden. Bij verlenging is wel toestemming van betrokkene nodig of moet hij minstens op de hoogte gebracht zijn.
De werkgever moet kunnen aantonen dat de GDPR-principes in de onderneming zijn nageleefd. Een goed uitgewerkte procedure in de ICT-policy over e-mail bij vertrek van een werknemer kan helpen om toekomstige problemen en mogelijke boetes te vermijden.
Bron: Décision quant au fond 64/2020 du 29 septembre 2020 (https://www.autoriteprotectiondonnees.be/publications/decision-quant-au-fond-n-64-2020.pdf)
Nog vragen?
Contacteer ons!