Παράνομη διατήρηση εταιρικού mailbox μετά την αποχώρηση εργαζομένης: 176.000 ευρώ πρόστιμο για τη συνέχιση λειτουργίας του υπηρεσιακού λογαριασμού

Μια ενδιαφέρουσα απόφαση για τη διαχείριση των επαγγελματικών λογαριασμών ηλεκτρονικού ταχυδρομείου μετά τη λήξη της εργασιακής σχέσης εξέδωσε η βελγική αρχή προστασίας δεδομένων APD, εξετάζοντας καταγγελία πρώην συνεργάτιδας τεχνολογικής εταιρείας, η οποία διαπίστωσε ότι το εταιρικό της e-mail εξακολουθούσε να λειτουργεί πολλούς μήνες μετά την αποχώρησή της.

Η καταγγέλλουσα είχε αποχωρήσει από την εταιρεία την 1η Μαΐου 2023. Μήνες αργότερα πληροφορήθηκε από τρίτα πρόσωπα ότι συνέχιζαν να επικοινωνούν μαζί της μέσω της επαγγελματικής διεύθυνσης e-mail που της είχε χορηγηθεί κατά τη διάρκεια της συνεργασίας της με την επιχείρηση. Όταν απευθύνθηκε στην εταιρεία, ζήτησε να ενημερωθεί για τα μηνύματα που είχαν αποσταλεί στο συγκεκριμένο mailbox μετά την αποχώρησή της, καθώς και για το εάν και από ποια πρόσωπα είχε υπάρξει πρόσβαση στον λογαριασμό.

Η υπόθεση έδωσε στη βελγική αρχή την ευκαιρία να διατυπώσει με ιδιαίτερη σαφήνεια τις αρχές που διέπουν τη διαχείριση των επαγγελματικών mailbox μετά το τέλος μιας εργασιακής σχέσης.

Ένα επαγγελματικό mailbox δεν περιέχει μόνο εταιρικά δεδομένα

Η απόφαση ξεκινά από μια διαπίστωση που συχνά παραβλέπεται στην πράξη: ένα επαγγελματικό γραμματοκιβώτιο δεν αποτελεί απλώς αποθετήριο εταιρικής αλληλογραφίας. Περιέχει προσωπικά δεδομένα του ίδιου του εργαζομένου, δεδομένα τρίτων προσώπων που επικοινωνούν μαζί του, αλλά και πληροφορίες που μπορεί να αφορούν την ιδιωτική του ζωή. Για τον λόγο αυτό, η διαχείριση ενός τέτοιου λογαριασμού αποτελεί επεξεργασία προσωπικών δεδομένων και παραμένει αντικείμενο που εμπίπτει στο πεδίο εφαρμογής του ΓΚΠΔ, ακόμη και μετά την αποχώρηση του εργαζομένου.

Η APD υπενθύμισε μάλιστα την εμβληματική απόφαση του ΕΔΔΑ στην υπόθεση Barbulescu, σύμφωνα με την οποία το δικαίωμα στην ιδιωτική ζωή και το απόρρητο της επικοινωνίας δεν εξαφανίζεται απλώς και μόνο επειδή η επικοινωνία πραγματοποιείται στον χώρο εργασίας.

Πόσο μπορεί να παραμείνει ενεργό το mailbox ενός πρώην εργαζομένου;

Το κεντρικό ερώτημα της υπόθεσης ήταν αν η εταιρεία μπορούσε να συνεχίσει να διατηρεί το mailbox μετά τη λήξη της συνεργασίας.

Η αρχή αναγνώρισε ότι κατά το πρώτο χρονικό διάστημα αμέσως μετά την αποχώρηση ενός εργαζομένου ενδέχεται να υπάρχουν νόμιμες επιχειρησιακές ανάγκες που δικαιολογούν μια σύντομη μεταβατική περίοδο διατήρησης του λογαριασμού. Ωστόσο, έκρινε ότι η περίοδος αυτή πρέπει κατ’ αρχήν να περιορίζεται στον ένα μήνα. Παράταση έως τρεις μήνες μπορεί να γίνει δεκτή μόνο εφόσον τεκμηριώνεται ειδικά και προκύπτει από σαφή στάθμιση συμφερόντων. Μετά το πέρας αυτού του χρονικού διαστήματος, το mailbox και τα δεδομένα που περιέχει δεν είναι πλέον αναγκαία και πρέπει κατ’ αρχήν να διαγράφονται οριστικά.

Η απενεργοποίηση δεν ισοδυναμεί με διαγραφή

Ένα από τα σημαντικότερα σημεία της απόφασης αφορά τη διάκριση μεταξύ «απενεργοποίησης» και «διαγραφής».

Η εταιρεία υποστήριξε ότι το mailbox είχε απενεργοποιηθεί, η βελγική αρχή ωστόσο επισήμανε ότι όσο τα δεδομένα εξακολουθούν να αποθηκεύονται και να παραμένουν τεχνικά προσβάσιμα, έστω και σε περιορισμένο αριθμό προσώπων, η επεξεργασία τους συνεχίζεται. Συνεπώς, δεν αρκεί η αφαίρεση της πρόσβασης του πρώην εργαζομένου ή η απενεργοποίηση του λογαριασμού· ο υπεύθυνος επεξεργασίας οφείλει να μπορεί να τεκμηριώσει τη συνεχιζόμενη διατήρηση των δεδομένων και να συμμορφώνεται με όλες τις απαιτήσεις του ΓΚΠΔ.

Έλλειψη ενημέρωσης προς τον πρώην εργαζόμενο και τους τρίτους

Η APD διαπίστωσε επίσης ότι η αποχώρηση ενός εργαζομένου μεταβάλλει ουσιωδώς τον τρόπο με τον οποίο τυγχάνουν επεξεργασίας τα δεδομένα που βρίσκονται στο mailbox του. Για τον λόγο αυτό, ο πρώην εργαζόμενος πρέπει να ενημερώνεται ότι τα δεδομένα του θα συνεχίσουν να τηρούνται για συγκεκριμένο χρονικό διάστημα, για ποιο σκοπό και με ποια νομική βάση. Συναφώς, δικαίωμα ενημέρωσης έχουν και τα πρόσωπα που εξακολουθούν να αποστέλλουν μηνύματα στη συγκεκριμένη διεύθυνση, ώστε να γνωρίζουν ότι τα μηνύματά τους δεν καταλήγουν πλέον στον αρχικό αποδέκτη.

Οι διαπιστώσεις της αρχής

Η βελγική Αρχή διαπίστωσε συνολικά πέντε παραβάσεις του ΓΚΠΔ στο πλαίσιο της διαχείρισης του εταιρικού mailbox της καταγγέλλουσας μετά τη λήξη της συνεργασίας της με την εταιρεία. Ιδιαίτερη βαρύτητα αποδόθηκε στην παράνομη συνέχιση της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα που περιέχονταν στο γραμματοκιβώτιο μετά την παρέλευση του χρονικού διαστήματος που μπορούσε να δικαιολογηθεί από το έννομο συμφέρον του εργοδότη. Για το ζήτημα αυτό η Αρχή διαπίστωσε παραβίαση της αρχής της νομιμότητας της επεξεργασίας, κατά παράβαση του άρθρου 5 παρ. 1 στοιχ. α ́ σε συνδυασμό με το άρθρο 6 παρ. 1 ΓΚΠΔ.

Παράλληλα, διαπιστώθηκαν παραβάσεις των υποχρεώσεων διαφάνειας και ενημέρωσης του υποκειμένου των δεδομένων, κατά παράβαση των άρθρων 12 και 13 ΓΚΠΔ, καθώς η εταιρεία δεν παρείχε επαρκή ενημέρωση σχετικά με τη συνέχιση της διατήρησης και επεξεργασίας των δεδομένων που περιέχονταν στο mailbox μετά την αποχώρηση της καταγγέλλουσας.

Για τις δύο αυτές παραβάσεις επιβλήθηκαν διοικητικά πρόστιμα ύψους 160.860,55 ευρώ και 16.086,06 ευρώ αντίστοιχα, ενώ για τις λοιπές διαπιστωθείσες παραβάσεις η Αρχή επέλεξε ηπιότερα διορθωτικά μέτρα. Επιπλέον, η APD διέταξε την παροχή πλήρους πρόσβασης στα δεδομένα του mailbox, τη διαβίβαση των σχετικών αρχείων καταγραφής πρόσβασης και τη διαγραφή των δεδομένων μετά την ικανοποίηση του δικαιώματος πρόσβασης.