Datatilsynet har udtalt alvorlig kritik af en virksomhed, der uden hjemmel tilgik en tidligere ansats private e-mailkonto og downloadede indhold til brug i en ansættelsesretlig tvist og en politianmeldelse. Tilsynet fandt, at behandling ikke kunne ske efter interesseafvejningen i GDPR art 6 stk 1 litra f, bl.a. fordi kontoen var privat og uden for arbejdsgiverens rådighed. Adgangen skete under en undersøgelse af medarbejderens arbejdscomputer, men virksomheden fortsatte søgningen, efter at det stod klart, at der var tale om en personlig konto.
Afgørelsen understreger, at HR-undersøgelser og bevisindsamling skal respektere lovlighed, nødvendighed og proportionalitet. Private konti må som udgangspunkt ikke gennemses uden et klart behandlingsgrundlag, og samtykke er sjældent egnet i ansættelsesforhold. Virksomheder bør fastlægge klare politikker, begrænse søgninger til arbejdsredskaber, dokumentere beslutninger og inddrage DPO ved tvivl. Læs Datatilsynets afgørelse og generel vejledning om behandlingsgrundlag på Datatilsynets hjemmeside: afgørelsen og vejledningen.
