Overtredelsesgebyr ilagt for manglende sletting av ansattes epost

Datatilsynet ila et selskap et gebyr på kr 75.000 for overtredelse av plikten til å slette ansattes epost etter personopplysningsforskriften samt for ulovlig innsyn i og overvåking av ansattes epost. Selskapet hadde etablert en løsning med videresending/viderekobling av ansattes epost når arbeidstakere sluttet, og hadde ikke rutiner for å deaktivere og slette epostkontoer etter ansattes fratreden. Personvernnemnda opprettholdt Datatilsynets beslutning. 

Etter personopplysningsforskriften § 9-4 er det plikt å slette ansattes epostkontoer innen rimelig tid etter arbeidsforholdet opphører. Det er også begrensede muligheter for arbeidsgiveren til å gjennomgå og få tilgang til ansattes epostkontoer, også etter arbeidsforholdet opphører, etter personopplysningsforskriftens regler i kapittel 9.  

Et selskap som ikke overholdt reglene om sletting og tilgang til ansattes epostkontoer, ble ilagt et gebyr på kr 75.000. Gebyret var ikke stort, og Datatilsynet kan ilegge langt strengere gebyr. Etter personvernforordningen som trer i kraft senest innen 25. mai 2018 blir gebyrene vesentlig høyere. Gebyr som kan ilegges under forordningen kan bli 20 mill. EUR eller 4 % av samlet global omsetning for foregående regnskapsår for bl.a. overtredelse av de grunnleggende prinsipper for behandling og manglende etterlevelse av påbud fra tilsynsmyndighet (som i denne saken), og 10 mill. EUR eller 2 % for en rekke andre overtredelser. Det kan også fastsettes andre sanksjoner under nasjonal lovgivning for overtredelser som ikke er sanksjonert av administrative bøter. 

Etter Datatilsynets praksis skal epostkonto slettes innen 6 måneder etter fratreden. I denne saken hadde ikke kontoene blitt slettet før minst 10 måneder etter fratreden. Saken ble innklaget til personvernnemnda som opprettholdt Datatilsynets beslutning om at selskapet må slette kontoene, etablere rutiner for sletting av epostkontoer for ansatte i fremtiden og opphøre med overvåking av ansatte. 

Selskapet hadde beholdt epostkontoene og hadde aksessert kontoene for å sikre tilgang til viktig kundeinformasjon. Dette er ikke et unnskyldende forhold i slike saker; tvert imot taler det for at innsynet ble gjort i arbeidsgiverens interesse som tillegges vekt ved vurderingen av overtredelsen etter personopplysningsloven § 46. Det ble også lagt vekt på at overtredelsene skjedde med hensikt, om arbeidsgiveren hadde en fordel ved overtredelsen, og at overtredelsen var en gjentatt handling. Også overtrederens økonomi er et moment i vurderingen av gebyrets størrelse, og i denne saken hadde arbeidsgiveren negativt resultat selv om det ikke var utslagsgivende for gebyrets størrelse. 

Personvernnemndas avgjørelse finnes her.

Se også denne artikkelen om hvordan hvordan overholde reglene om å slette ansattes epostkontoer etter fratreden, og samtidig ikke miste forretningskritisk epost.

Bli den første til å kommentere på "Overtredelsesgebyr ilagt for manglende sletting av ansattes epost"

Legg inn en kommentar

Ikke gå glipp av noe!

Motta nyhetsbrev fra Teknologirett: