DA
Teknologi

Syv bud til når arbejdsmailen skal lukkes

logo
Juranyt
calendar 28. september 2023
globus Danmark

Mange virksomheder er fortsat ikke opmærksomme på, hvordan en e-mailkonto skal håndteres i forbindelse med fratræden. Uklarhed om reglerne er ikke kun et problem i Norden, og det har nu fået datatilsynet i Estland til at udstede en vejledning. Vi ser nærmere på, hvordan vejledningens syv bud efter GDPR spiller sammen med det danske datatilsyns retningslinjer.

En arbejdsrelateret e-mailkonto kan holdes aktiv i en periode efter en medarbejders fratræden – eller fritstilling, for den sags skyld. Perioden skal være så kort som muligt, men vil variere afhængigt af medarbejderens stilling og funktion. Som udgangspunkt må perioden aldrig overstige tolv måneder.

I perioden, hvor e-mailkontoen bliver holdt aktiv, må den kun blive brugt til at modtage e-mails. Virksomheder bør kun undtagelsesvist bruge e-mailkontoen til at videresende e-mails. Det kan eksempelvis være relevant, hvis der er tale om private e-mails, som skal videresendes til den tidligere medarbejder.

Virksomheder bør indsætte et autosvar i perioden, hvor e-mailkontoen er aktiv. Autosvaret kan med fordel informere om, at medarbejderen er fratrådt og andre relevante oplysninger.

Samme regler, forskellige retningslinjer

Der er tale om de samme regler på tværs af medlemslandene. Alligevel kan retningslinjer variere fra datatilsyn til datatilsyn. Derfor er det relevant at se nærmere på andre datatilsyns retningslinjer, da det kan hjælpe med at skabe en bedre forståelse af databeskyttelsesreglerne i praksis.

I det her tilfælde er de syv bud fra datatilsynet i Estland interessante, når politikken for håndteringen af arbejdsmailen skal udarbejdes. De syv bud er:

  1. Luk e-mailkontoen straks
  2. Etablér eventuelt en e-mailkonto for hver stilling, og ikke for hver medarbejder
  3. Giv medarbejderne tilstrækkelige oplysninger før e-mailkontoen tilgås
  4. Sørg for at have retningslinjer for håndtering af e-mailkontoen ved fratræden
  5. Tilgå aldrig medarbejderens private korrespondance
  6. Sørg for løbende arkivering af e-mails for at undgå datatab
  7. Kontrolforanstaltninger må ikke krænke medarbejderen

Udover første punkt, hvor det danske datatilsyn giver virksomheder op til tolv måneder, er alle punkterne relevante overvejelser. Vi har tidligere skrevet om anbefalinger til håndtering af e-mailkonti ved fratræden fra før GDPR trådte i kraft her.

IUNO mener

Virksomheder skal huske, at reglerne om oplysningspligt også gælder i forbindelse med lukning af tidligere medarbejderes e-mailkonti. Det kan eksempelvis ske ved, at der er indsat et afsnit i privatlivspolitikken, der beskriver behandlingsaktiviteten og opbevaringsperioden. Reglerne gælder uanset om medarbejderen er fratrådt eller fritstillet.

IUNO mener, at virksomheder skal være opmærksomme på, at der også er behov for et behandlingsgrundlag ved håndtering af e-mailkonti. Når der er tale om håndtering af e-mailkonti for fratrådte medarbejdere, vil det normalt være i virksomhedens legitime interesse at udføre behandlingen.

En arbejdsrelateret e-mailkonto kan holdes aktiv i en periode efter en medarbejders fratræden – eller fritstilling, for den sags skyld. Perioden skal være så kort som muligt, men vil variere afhængigt af medarbejderens stilling og funktion. Som udgangspunkt må perioden aldrig overstige tolv måneder.

I perioden, hvor e-mailkontoen bliver holdt aktiv, må den kun blive brugt til at modtage e-mails. Virksomheder bør kun undtagelsesvist bruge e-mailkontoen til at videresende e-mails. Det kan eksempelvis være relevant, hvis der er tale om private e-mails, som skal videresendes til den tidligere medarbejder.

Virksomheder bør indsætte et autosvar i perioden, hvor e-mailkontoen er aktiv. Autosvaret kan med fordel informere om, at medarbejderen er fratrådt og andre relevante oplysninger.

Samme regler, forskellige retningslinjer

Der er tale om de samme regler på tværs af medlemslandene. Alligevel kan retningslinjer variere fra datatilsyn til datatilsyn. Derfor er det relevant at se nærmere på andre datatilsyns retningslinjer, da det kan hjælpe med at skabe en bedre forståelse af databeskyttelsesreglerne i praksis.

I det her tilfælde er de syv bud fra datatilsynet i Estland interessante, når politikken for håndteringen af arbejdsmailen skal udarbejdes. De syv bud er:

  1. Luk e-mailkontoen straks
  2. Etablér eventuelt en e-mailkonto for hver stilling, og ikke for hver medarbejder
  3. Giv medarbejderne tilstrækkelige oplysninger før e-mailkontoen tilgås
  4. Sørg for at have retningslinjer for håndtering af e-mailkontoen ved fratræden
  5. Tilgå aldrig medarbejderens private korrespondance
  6. Sørg for løbende arkivering af e-mails for at undgå datatab
  7. Kontrolforanstaltninger må ikke krænke medarbejderen

Udover første punkt, hvor det danske datatilsyn giver virksomheder op til tolv måneder, er alle punkterne relevante overvejelser. Vi har tidligere skrevet om anbefalinger til håndtering af e-mailkonti ved fratræden fra før GDPR trådte i kraft her.

IUNO mener

Virksomheder skal huske, at reglerne om oplysningspligt også gælder i forbindelse med lukning af tidligere medarbejderes e-mailkonti. Det kan eksempelvis ske ved, at der er indsat et afsnit i privatlivspolitikken, der beskriver behandlingsaktiviteten og opbevaringsperioden. Reglerne gælder uanset om medarbejderen er fratrådt eller fritstillet.

IUNO mener, at virksomheder skal være opmærksomme på, at der også er behov for et behandlingsgrundlag ved håndtering af e-mailkonti. Når der er tale om håndtering af e-mailkonti for fratrådte medarbejdere, vil det normalt være i virksomhedens legitime interesse at udføre behandlingen.

Modtag vores nyhedsbrev

Anders

Etgen Reitz

Partner

Kirsten

Astrup

Managing associate (orlov)

Lignende

logo
HR-jura Teknologi

11. marts 2024

Flere medarbejdere indberetter psykisk arbejdsmiljø til Datatilsynet

logo
Teknologi

16. februar 2024

Varehus fik millionbøde for kontrol med medarbejdere

logo
Teknologi

14. september 2023

Åbne personalefiler var databrud

logo
Teknologi

14. september 2023

Frist for at etablere whistleblowerordninger for mellemstore virksomheder nærmer sig

logo
Teknologi

31. august 2023

Ny vejledning fra Datatilsynet om direkte markedsføring

logo
Teknologi

8. juni 2023

Alvorlig kritik og påbud efter uorden med værktøjskasse

Holdet

Anders

Etgen Reitz

Partner

Kirsten

Astrup

Managing associate (orlov)