Datatilsynet har udtalt alvorlig kritik af en virksomhed, som efter en medarbejders fratrædelse tilgik vedkommendes private mailkonto via en arbejdscomputer og downloadede e-mails til brug for bevissikring i en verserende civil sag og en politianmeldelse. Tilsynet fastslog, at der var tale om behandling af personoplysninger omfattet af GDPR, og at virksomheden ikke lovligt kunne støtte sig på den legitime interesse efter artikel 6, stk. 1, litra f.
Datatilsynets vurdering
Virksomheden gjorde gældende, at der ikke var behandlet personoplysninger, eller at behandlingen i givet fald var nødvendig af hensyn til virksomhedens interesse i at sikre beviser. Datatilsynet lagde derimod vægt på, at adgangen angik en personlig mailkonto, og at søgningerne i indbakken kunne afdække en bred mængde private oplysninger uden relation til den konkrete mistanke. Det skærpede indgrebets karakter, at adgangen opstod tilfældigt, samt at virksomheden fortsatte søgninger og downloads efter at have indset, at kontoen var privat.
Efter en konkret interesseafvejning fandt tilsynet, at hensynet til den tidligere medarbejders privatliv og ret til fortrolighed om private e-mails vejede tungere end virksomhedens ønske om bevissikring i den civile sag og i relation til politianmeldelsen. Forudsætningerne for at anvende artikel 6, stk. 1, litra f, var derfor ikke opfyldt, og virksomheden modtog alvorlig kritik.
Praktiske konsekvenser for arbejdsgivere
Afgørelsen tydeliggør grænsen mellem arbejdsmail og privat mail. Arbejdsgivere kan i særlige, velbegrundede situationer gennemgå arbejdsmails, hvis der foreligger et lovligt behandlingsgrundlag, nødvendighed og proportionalitet, og hvis adgangen er understøttet af klare politikker og dokumentation. Derimod kan private mailkonti som udgangspunkt ikke gennemses med henvisning til legitim interesse, netop fordi risikoen for indgreb i privatlivet er betydelig. Samtykke er sjældent egnet i ansættelsesforhold på grund af skæv magtbalance.
Ved mistanke om illoyal adfærd bør virksomheder fokusere på datakilder, de lovligt råder over, eksempelvis arbejdsmail og interne systemer, og sikre bevaring af relevante data på disse platforme. Offboarding-tiltag som systematisk afvikling af adgange, logud af private konti på arbejdsudstyr og sletning af browserprofiler mindsker risikoen for utilsigtet adgang. Involvering af juridiske rådgivere og DPO, dokumentation af nødvendighed og proportionalitet samt stram adgangsstyring og logning er centrale elementer i en forsvarlig proces.
