Opgelet met het versturen van e-mails die persoonsgegevens van een ex-werknemer bevatten

In een beslissing van 10 maart 2022 heeft de Geschillenkamer van de Gegevensbeschermingsautoriteit (GBA) bevestigd dat het versturen van een e-mail met persoonsgegevens van een ex-werknemer aan een officiële instantie een inbreuk kan vormen op de principes van finaliteit, minimale gegevensverwerking, integriteit en vertrouwelijkheid. De beslissing kwam naar aanleiding van een klacht die een ex-werkneemster had neergelegd tegen haar voormalige werkgever nadat die in een e-mail aan de gemeente en enkele ex-collega’s een aantal van haar persoonsgegevens had vermeld en bekendgemaakt. De werkgever kreeg een berisping van de GBA.

Feiten

De beslissing kadert in een geschil tussen een werkgever en zijn voormalige werkneemster. Toen de ex-werkneemster nog in dienst was van de werkgever, beging zij een milieu-inbreuk met haar firmawagen. De vaststelling van de inbreuk werd eerst naar de werkgever gestuurd, die zijn werkneemster verzocht om dit op te volgen. Vervolgens heeft de werkneemster haar identiteit kenbaar gemaakt bij de gemeente en de administratieve boete betaald.

Een jaar later ontving de werkgever opnieuw een betaalverzoek vanwege de gemeente voor diezelfde inbreuk, maar voor een aanzienlijk hoger bedrag. De betrokken werkneemster was inmiddels elders aan het werk, waardoor de werkgever zich genoodzaakt zag om de gemeente in te lichten dat het een ex-werkneemster was die de inbreuk gepleegd had. In een e-mail aan de gemeente vermeldde de werkgever niet alleen de naam en het adres van de betrokken ex-werkneemster, maar ook haar nieuw professioneel e-mailadres en haar beroep. Bij de e-mail werd tevens een ontwerpbrief gevoegd die de betrokkene eerder van plan was aan de gemeente te sturen (met daarin onder meer een bekentenis van de feiten). De werkgever had deze ontwerpbrief bemachtigd via een oud-collega van de ex-werkneemster die haar destijds had geholpen bij de vertaling ervan. De bewuste e-mail was verder geadresseerd aan drie verschillende e-mailadressen van de gemeente, met drie medewerkers van de werkgever en de ex-werkneemster zelf (zowel met haar privé-e-mailadres als met haar nieuw professioneel e-mailadres) in kopie.

De ex-werkneemster stelde zich ernstige vragen bij de werkwijze van de werkgever: had haar ex-werkgever wel correct gehandeld bij de verwerking van haar persoonsgegevens? Zij legde dan ook klacht neer bij de GBA.

Verdediging van de werkgever

De werkgever voerde ter verdediging aan dat hij over een rechtmatig belang beschikte bij het kenbaar maken van de verschillende persoonsgegevens van de ex-werkneemster. Met name voerde hij aan dat het doel van de e-mail erin bestond te vermijden dat de inbreuk werd toegerekend aan de verkeerde persoon. In die optiek achtte de werkgever het noodzakelijk om de verschillende persoonsgegevens kenbaar te maken. Ook het verzenden van de e-mail aan de verschillende e-mailadressen (zowel ten aanzien van de gemeente als ten aanzien van 3 van zijn medewerkers) was volgens de werkgever noodzakelijk om de opvolging van zijn dossier te garanderen.

Beoordeling van de GBA

Bij de beoordeling van de klacht heeft de GBA nagegaan of de verschillende principes zoals voorzien in de Algemene Verordening Gegevensbescherming (AVG) wel correct werden nageleefd door de werkgever. De principes van rechtmatigheid, finaliteit, minimale gegevensverwerking, alsook integriteit en vertrouwelijkheid werden getoetst.

Hoewel de GBA aanvaardde dat het opvolgen van ‘procedures, inbreuken en administratieve boetes’ wel als een rechtmatig belang gold in hoofde van de werkgever, meende de GBA tegelijk dat de werkgever toch zijn boekje te buiten was gegaan.

Concreet was de GBA het ermee eens dat het meedelen van de woonplaats van de betrokkene en haar persoonlijk e-mailadres noodzakelijk was voor de administratieve afhandeling van het dossier. Echter, het gebruiken van het nieuw professioneel e-mailadres en het vermelden van het beroep van de ex-werkneemster was te verregaand. Ook bij de keuze van de geadresseerden had de werkgever selectiever moeten zijn: het feit dat de bewuste e-mail ook aan een algemeen e-mailadres van de gemeente werd verstuurd, alsook naar de voormalige verantwoordelijke van de betrokkene werd door de GBA niet aanvaard. Ten slotte besliste de GBA dat de werkgever ook te ver was gegaan bij het overmaken van de bewuste brief die de ex-werkneemster in het verleden had voorbereid: deze ‘bekentenis’ had de ex-werkneemster immers destijds op vertrouwelijke basis met haar collega gedeeld.

Berisping voor de werkgever

De GBA besliste dus dat de werkgever zich schuldig had gemaakt aan een inbreuk op de Algemene Verordening Gegevensbescherming. Echter, een boete was volgens de GBA geen gepaste sanctie, aangezien de fout duidelijk niet met opzet werd gepleegd, maar louter het gevolg was van een verkeerde beoordeling door de werkgever. De GBA beperkte zich dan ook tot een berisping van de werkgever.

Actiepunt

Het blijft belangrijk om de algemene principes van de AVG steeds in acht te nemen, zelfs wanneer het doel erin bestaat een administratieve of procedurele aangelegenheid op te volgen. Bij het vermelden van persoonsgegevens in communicatie aan derden moet er dus steeds over gewaakt worden dat enkel de strikt noodzakelijke gegevens worden vermeld. Alhoewel de beslissing van de GBA betrekking had op het meedelen door de werkgever van gegevens over een ex-werknemer, kunnen de overwegingen ons inziens tevens gelden voor het kenbaar maken van persoonsgegevens van nog in dienst zijnde werknemers: voorzichtigheid geboden dus.