Arbejdsgivere kan i begrænset tid lade en arbejdsrelateret e-mailkonto for en fratrådt eller fritstillet medarbejder forblive aktiv, men perioden skal være så kort som muligt og knyttet til et konkret forretningsbehov. I Danmark accepterer Datatilsynet som udgangspunkt maksimalt tolv måneder. Konti bør alene modtage e-mails, og videresendelse bør kun ske i særlige tilfælde, fx hvor private henvendelser skal viderebringes til den tidligere medarbejder. Et informativt autosvar bør altid være slået til.
Retningslinjer fra europæiske datatilsyn peger på en række praktiske tiltag, som kan omsættes til interne politikker og procedurer:
- Luk kontoen hurtigt efter fratræden og planlæg udfasning.
- Brug funktionspostkasser frem for personnavne, hvor det er muligt.
- Informer medarbejdere på forhånd om adgangen og formålet med gennemgang af e-mails.
- Fastlæg klare offboarding-retningslinjer for e-mailhåndtering.
- Undlad at læse privat korrespondance.
- Sikr løbende arkivering for at forebygge datatab.
- Gennemfør kontrolforanstaltninger proportionalt og uden unødig krænkelse.
Virksomheder skal samtidig opfylde oplysningspligten, fx via privatlivspolitikken, med angivelse af behandlingsaktivitet og opbevaringsperiode. Håndteringen kræver et gyldigt behandlingsgrundlag; ofte kan legitim interesse efter GDPR art. 6 være passende, forudsat en dokumenteret interesseafvejning og dataminimering.
