Datatilsynet har udtalt alvorlig kritik af en virksomhed, der via en returneret arbejdscomputer tilgik og downloadede e-mails fra en tidligere medarbejders private konto for at sikre beviser i en tvist. Myndigheden vurderede, at virksomheden ikke havde et behandlingsgrundlag, der kunne opveje medarbejderens ret til privatliv.
Retlige rammer og vurdering
Afgørelsen hviler på interesseafvejningen i GDPR art. 6, hvor behandling kan ske, hvis en legitim interesse vejer tungere end den registreredes interesser eller grundlæggende rettigheder. Datatilsynet fandt, at adgangen til en privat e-mailkonto er et indgribende skridt, som ikke var nødvendigt eller proportionelt i den foreliggende situation.
Myndigheden bemærker, at arbejdsgiverens bevisbehov ikke i sig selv legitimerer adgang til private e-mails. Indgrebet kan desuden kollidere med straffelovens regler om brevhemmelighed. Virksomheder skal derfor overveje mindre indgribende alternativer og dokumentere nødvendighed og proportionalitet.
Praktiske anbefalinger
Arbejdsgivere bør fastlægge klare politikker for e-mailadgang, herunder procedurer ved fratrædelse, lukning af konti og håndtering af materiale på arbejdsudstyr. Gennemfør risikovurdering og skriftlig interesseafvejning før enhver adgang til personoplysninger, og sørg for logning og intern godkendelse.
Ved mistanke om illoyal adfærd bør virksomheden prioritere mindre indgribende tiltag, fx målrettet indsamling fra virksomhedens egne systemer eller juridisk afprøvede bevissikringsmidler, frem for at tilgå private konti. Træn relevante medarbejdere i databeskyttelse og dokumentér alle skridt.
