In twee recente beslissingen (Beslissing 126/2021 van 19 november 2021 en Beslissing 133/2021 van 2 december 2021) brengt de Geschillenkamer van de Gegevensbeschermingsautoriteit (GBA) haar strenge richtlijnen inzake het sluiten van de mailbox en het daaraan gekoppelde e-mailaccount na beëindiging van tewerkstelling in herinnering (zie hierover onze eerdere Newsflash via deze link). Deze richtlijnen moeten ook gerespecteerd worden wanneer de samenwerking met een zelfstandige wordt stopgezet.
Feiten
In de meest recente zaak legde een voormalige zelfstandige dienstverlener van een feitelijke vereniging een klacht neer bij de GBA nadat aan het licht kwam dat zijn e-mailadres op 1 en 11 januari 2020 nog steeds actief was binnen de organisatie terwijl de samenwerking reeds eind 2019 werd beëindigd. De aanleiding hiertoe vormde een antwoord door de nationale secretaris van de feitelijke vereniging op een privé-e-mail gericht aan de dienstverlener, waarin werd gemeld dat het professionele e-mailadres op naam van de dienstverlener zou ophouden te bestaan. De mailbox van de zelfstandige dienstverlener was immers door de IT-afdeling toegevoegd aan de mailbox van de nationale secretaris.
In de Beslissing 126/2021 werd een klacht neergelegd door een man die nieuwsbrieven bleef ontvangen van een organisatie nadat hij zich had uitgeschreven. Het onderzoek wees uit dat dit kwam omdat de mailbox van zijn voorganger was toegevoegd aan zijn eigen mailbox.
Beslissing van de Geschillenkamer van de GBA
In beide zaken herinnert de GBA eraan dat zowel het doelbindingsbeginsel als het beginsel van minimale gegevensverwerking niet worden gerespecteerd wanneer de organisatie na het vertrek van een medewerker nog toegang heeft tot diens mailbox en het professionele mailadres van de ex-medewerker blijft bestaan en actief wordt gebruikt. Een dergelijke verwerking berust op geen enkele rechtsgrond.
Richtlijnen
De GBA had reeds in Beslissing 64/2020 van 29 september 2020 gesteld dat de onderneming, uiterlijk op de dag van het feitelijk vertrek, de mailbox van de ex-medewerker moet deactiveren en voorzien van een automatisch bericht waarin de geadresseerde erop wordt gewezen dat de persoon die hij probeerde te contacteren de organisatie heeft verlaten. De ex-medewerker moet worden geïnformeerd over voormelde deactivering. Deze richtlijnen gelden zowel voor werknemers als voor zelfstandigen.
Na een redelijke termijn (a priori één maand) moet de mailbox – en het automatisch bericht – verwijderd worden. De termijn van één maand kan, rekening houdend met de context en de graad van verantwoordelijkheid, worden verlengd tot maximaal 3 maanden. Deze verlenging moet worden gemotiveerd en dient best in onderling akkoord met of minstens met kennisgeving aan de ex-medewerker te gebeuren.
Het beperkt actief houden van de mailbox moet berusten op een nieuwe rechtsgrond. De initiële rechtsgrond voor het effectief beheer en gebruik van de mailbox, m.n. de uitvoering van de overeenkomst, is door de beëindiging van de samenwerking immers komen te vervallen. De GBA aanvaardt hierbij dat de onderneming zich kan baseren op zijn gerechtvaardigd belang, met name het verzekeren van de continuïteit van de prestaties en het goed functioneren. De GBA voegt er in deze beslissing ook aan toe dat de betrokkene nog een beperkte toegang kan hebben tot de mailbox, mits het akkoord tussen de verwerkingsverantwoordelijke en de betrokkene, bijvoorbeeld om lopende dossiers af te werken. Dit laatste lijkt alleszins onmogelijk in het geval van het ontslag van een werknemer die immers niet verondersteld kan worden om nog activiteiten uit te voeren na de beëindiging van zijn tewerkstelling. Het lijkt daarentegen wel denkbaar dat ofwel de onderneming ofwel de betrokkene nog informatie nodig heeft uit de mailbox en zich om die reden nog tijdelijk, gedurende een korte duur na het ontslag, nog een toegang kan verschaffen. We denken hierbij in het bijzonder aan de situatie waarin de medewerker niet aanwezig is in de onderneming op het ogenblik van de beëindiging van de samenwerking.
De GBA wijst erop dat de gegevensbeschermingsbeginselen worden geschonden wanneer de mailbox van een voormalige werknemer of zelfstandige medewerker worden toegevoegd aan de mailbox van een collega die de mailbox verder beheert en kennis kan nemen van e-mails gericht aan de ex-medewerker. Dit is volgens de GBA bovendien eveneens strijdig met de Telecomwet.
Sanctie
In tegenstelling tot de voorgaande beslissing van de GBA waarbij de onderneming in kwestie werd gesanctioneerd met een administratieve geldboete (lees hierover meer via deze link), bleef de sanctie in deze zaak beperkt tot een berisping daar de mailaccount van de dienstverlener inmiddels werd afgesloten en de organisatie thans beschikte over een document met formele afspraken over de professionele mailbox.
Actiepunt
Zorg ervoor dat u als onderneming een intern beleid uitwerkt waarin, op basis van de richtlijnen van GBA, formele afspraken worden gemaakt over de e-mailaccount tijdens en na beëindiging van de samenwerking. Kijk er ook steeds op toe dat het intern beleid effectief wordt toegepast!
Het Claeys & Engels Data Protection team staat klaar om te helpen bij verdere vragen over jullie intern beleid.