Eind september heeft de Gegevensbeschermingsautoriteit een beslissing gepubliceerd die nog maar eens aantoont dat een goede e-mailpolicy bij vertrek van een werknemer zeer belangrijk is voor een onderneming.
De feiten
De Gegevensbeschermingsautoriteit heeft een waarschuwing gegeven aan een werkgever die de zakelijke mailbox van een ex-werknemer niet verwijderd heeft en daaruit nog een mail heeft verstuurd in naam van de ex-werknemer. Dit gebeurde
allemaal zonder het medeweten van de ex-werknemer in kwestie. Nadat deze persoon de feiten had ontdekt, heeft hij zijn ex-werkgever
gevraagd om zijn voormalige mailbox te verwijderen. Hier werd geen gevolg aan gegeven, waardoor de zaak op het bord van de Gegevensbeschermingsautoriteit is beland.
Beslissing Gegevensbeschermingsautoriteit
De Gegevensbeschermingsautoriteit heeft deze klacht opgedeeld in 2 verschillende delen. Enerzijds onderzoekt deze het feit waarbij de werkgever het heeft nagelaten om de mailbox van de oud-werknemer te verwijderen. Anderzijds onderzoekt de autoriteit de actie waarbij de werkgever na het vertrek van de ex-werknemer nog een mail in diens naam heeft gestuurd.
De Gegevensbeschermingsautoriteit heeft hier beslist om de eerste aanklacht te seponeren en enkel een waarschuwing te geven voor de tweede klacht. Op zich is het niet verboden om de zakelijke mailbox van een ex-werknemer nog even te behouden om automatische emailberichten uit zijn naam te sturen naar correspondenten, om hen op de hoogte te brengen dat de werknemer in kwestie niet meer in dienst is. De Gegevensbeschermingsautoriteit bevestigt hiermee zijn eerdere beslissing (133/2021). De bewaartermijn van een zakelijke mailbox is hierbij 1 maand, dat in uitzonderlijke gevallen opgetrokken kan worden tot een maximum van 3 maanden.
Het feit dat de werkgever nog een mail heeft gestuurd in naam van de oud-werknemer ligt voor de Gegevensbeschermingsautoriteit gevoeliger. Volgens de autoriteit schendt de werkgever hierbij een aantal principes in de GDPR (het doelbindingsprincipe en het beginsel van minimale gegevensverwerking). De werkgever kon na het vertrek van de werknemer zich nog toegang verschaffen tot de mailbox, heeft dat ook effectief gedaan en heeft van daaruit nog berichten gestuurd naar externe personen (in naam van de ex-werknemer). Voor deze actie geeft de Gegevensbeschermingsautoriteit een waarschuwing.
Conclusie: een gewaarschuwd man is er twee waard
Bij deze beslissing heeft de Gegevensbeschermingsautoriteit de principes inzake het e-mailbeleid van een onderneming nog eens grondig uiteengezet. Het is duidelijk dat een werkgever best een goed uitgewerkte e-mailpolicy toepast bij het vertrek van werknemers. Volgende tips kunt u best in gedachten houden:
1) Onderlinge afspraken zijn van vitaal belang! Informeer werknemers al op voorhand wat er gebeurt met hun mailbox na vertrek. Maak hierbij ook al afspraken hoe lang de mailbox kan worden bijgehouden.
2) Informeer externen uiterlijk op de laatste werkdag van de werknemer dat deze er niet meer werkt via een automatisch standaardbericht. Hierbij is het aan te raden dat dit bericht verwijst naar de nieuwe contactpersoon. Stuur in geen geval andere mails in naam van de ex-werknemer.
3) Laat dit maximum een maand lopen, met uitzonderling van bepaalde gevallen waarbij een langere termijn verantwoordbaar is. Breng hiervan altijd de werknemer op de hoogte.
Deze beslissing is een goede kans om het e-mailbeleid van uw onderneming te herevalueren. De Gegevensbeschermingsautoriteit heeft hier deze keer een waarschuwing gegeven, maar boetes blijven altijd mogelijk. Bij vragen hierover kunt u ons altijd vrijblijvend contacteren.