Mange virksomheder er fortsat ikke opmærksomme på, hvordan en e-mailkonto skal håndteres i forbindelse med fratræden. Uklarhed om reglerne er ikke kun et problem i Norden, og det har nu fået datatilsynet i Estland til at udstede en vejledning. Vi ser nærmere på, hvordan vejledningens syv bud efter GDPR spiller sammen med det danske datatilsyns retningslinjer.
En arbejdsrelateret e-mailkonto kan holdes aktiv i en periode efter en medarbejders fratræden – eller fritstilling, for den sags skyld. Perioden skal være så kort som muligt, men vil variere afhængigt af medarbejderens stilling og funktion. Som udgangspunkt må perioden aldrig overstige tolv måneder.
I perioden, hvor e-mailkontoen bliver holdt aktiv, må den kun blive brugt til at modtage e-mails. Virksomheder bør kun undtagelsesvist bruge e-mailkontoen til at videresende e-mails. Det kan eksempelvis være relevant, hvis der er tale om private e-mails, som skal videresendes til den tidligere medarbejder.
Virksomheder bør indsætte et autosvar i perioden, hvor e-mailkontoen er aktiv. Autosvaret kan med fordel informere om, at medarbejderen er fratrådt og andre relevante oplysninger.
Samme regler, forskellige retningslinjer
Der er tale om de samme regler på tværs af medlemslandene. Alligevel kan retningslinjer variere fra datatilsyn til datatilsyn. Derfor er det relevant at se nærmere på andre datatilsyns retningslinjer, da det kan hjælpe med at skabe en bedre forståelse af databeskyttelsesreglerne i praksis.
I det her tilfælde er de syv bud fra datatilsynet i Estland interessante, når politikken for håndteringen af arbejdsmailen skal udarbejdes. De syv bud er:
- Luk e-mailkontoen straks
- Etablér eventuelt en e-mailkonto for hver stilling, og ikke for hver medarbejder
- Giv medarbejderne tilstrækkelige oplysninger før e-mailkontoen tilgås
- Sørg for at have retningslinjer for håndtering af e-mailkontoen ved fratræden
- Tilgå aldrig medarbejderens private korrespondance
- Sørg for løbende arkivering af e-mails for at undgå datatab
- Kontrolforanstaltninger må ikke krænke medarbejderen
Udover første punkt, hvor det danske datatilsyn giver virksomheder op til tolv måneder, er alle punkterne relevante overvejelser. Vi har tidligere skrevet om anbefalinger til håndtering af e-mailkonti ved fratræden fra før GDPR trådte i kraft her.
IUNO mener
Virksomheder skal huske, at reglerne om oplysningspligt også gælder i forbindelse med lukning af tidligere medarbejderes e-mailkonti. Det kan eksempelvis ske ved, at der er indsat et afsnit i privatlivspolitikken, der beskriver behandlingsaktiviteten og opbevaringsperioden. Reglerne gælder uanset om medarbejderen er fratrådt eller fritstillet.
IUNO mener, at virksomheder skal være opmærksomme på, at der også er behov for et behandlingsgrundlag ved håndtering af e-mailkonti. Når der er tale om håndtering af e-mailkonti for fratrådte medarbejdere, vil det normalt være i virksomhedens legitime interesse at udføre behandlingen.
Gå ikke glip af vigtig juridisk viden - Tilmeld dig vores gratis nyhedsservice
her →
Har du spørgsmål til dette indlæg, er du mere end velkommen til at kontakte os.
Skal din artikel også udgives via Jurainfo og udsendes direkte, via e-mail, til personer og virksomheder som specifikt efterspørger viden og kompetencer inden for dit område? Ansøg om en profil her.
