Journalnummer: 2024-31-0529.
Resumé
Datatilsynet har truffet afgørelse i en sag, hvor en virksomhed uberettiget havde tilgået en tidligere ansats personlige e-mailkonto og downloadet e-mails som sikring af bevismateriale i en civil retssag om en ansættelsesretlig tvist mellem virksomheden og den tidligere ansatte.
Virksomheden oplyste til Datatilsynet, at den tidligere ansattes personoplysninger var blevet behandlet som led i virksomhedens legitime interesse. Oplysningerne fra den tidligere ansattes private e-mailkonto blev brugt til at retsforfølge klageren i en civilretlig sag og til en politianmeldelse.
Datatilsynet udtaler alvorlig kritik
Datatilsynet konkluderer i afgørelsen, at virksomhedens behandling af personoplysninger ikke kunne ske med hjemmel i interesseafvejningsreglen. Tilsynet valgte på den baggrund at udtale alvorlig kritik af virksomhedens behandling af personoplysninger i forbindelse med gennemgang af tidligere ansats private e-mailkonto.
Tilsynet lagde i afgørelsen bl.a. vægt på, at der var tale om en personlig e-mailkonto, og ikke en e-mailkonto som virksomheden havde rådighed over. Datatilsynet bemærkede også, at virksomhedens undersøgelse var rettet mod den tidligere ansattes arbejdscomputer, og at adgangen til den personlige e-mailkonto blev opdaget ved et tilfælde.
Ligeledes lagde Datatilsynet vægt på, at virksomheden havde fortsat søgningen i den tidligere ansattes personlige e-mailkonto, selv efter at virksomheden var blevet klar over, at der var tale om en personlig e-mailkonto.
Afgørelse
Datatilsynet vender hermed tilbage til sagen hvor [X], på vegne af klager, den 10. januar 2024 har klaget til tilsynet over, at Virksomhed [A] har tilgået og downloadet e-mails fra klagers personlige e-mailkonto.
1. Afgørelse
Efter en gennemgang af sagen finder Datatilsynet, at der er grundlag for at udtale alvorlig kritik af, at Virksomhed [A]’s behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens[1] artikel 6, stk. 1, litra f.
Det bemærkes, at spørgsmålet om, hvorvidt der foreligger en overtrædelse af straffelovens[2] bestemmelse i § 263 om brevhemmelighed, ikke henhører under Datatilsynets kompetence.
Nedenfor følger en nærmere gennemgang af sagen og en begrundelse for Datatilsynets afgørelse.
2. Sagsfremstilling
Det fremgår af sagen, at klager tidligere har været ansat hos Virksomhed [A]. Efter ansættelsen ophør, opstod en tvist mellem klager og Virksomhed [A] bl.a. om hvorvidt klager under ansættelsen havde udført konkurrerende arbejde i strid med sin ansættelseskontrakt, hvilket resultererede i en civil retssag mellem parterne samt en anmeldelse til politiet.
I forbindelse med skriftudvekslingen i retssagen, kom det frem, at Virksomhed [A] som ”sikring af bevismateriale” havde tilgået klagers personlige e-mailkonto, da denne var åben på klagers tidligere arbejdscomputer, der var blevet afleveret tilbage ved ansættelsens ophør.
Det fremgår videre af sagen, at Virksomhed [A] ved sikring af bevismateriale udførte en simpel søgning på kunder, og hentede det materiale de mente var relevant ned fra klagers personlige e-mailkonto.
[X] klagede i forlængelse heraf til Datatilsynet, på vegne af klager, over, at Virksomhed [A] uberettiget havde tilgået klagers personlige e-mailkonto og anvendt oplysningerne i forbindelse med den civile retssag.
På baggrund af ovenstående valgte Datatilsynet den 18. april 2024 at anmode Virksomhed [A] om en udtalelse til sagen.
Datatilsynet anmodede bl.a. Virksomhed [A] om at oplyse, hvorvidt Virksomhed [A] havde hentet materiale fra klagers private e-mailkonto, til hvilke(t) formål Virksomhed [A] behandlede oplysningerne samt, på hvilket retlig grundlag i databeskyttelsesforordningen og databeskyttelsesloven Virksomhed [A] behandlede det hentede materiale.
2.1. Virksomhed [A] bemærkninger
[Y] har, på vegne af Virksomhed [A], som svar på Datatilsynets anmodning om en udtalelse, bekræftet, at materiale er hentet fra klagers personlige e-mailkonto, og at materialet er hentet til bevissikring i forbindelse med en civil retssag samt til bevissikring i forbindelse med politianmeldelse af klager.
Den personlige e-mailkonto er tilgået i forbindelse med, at Virksomhed [A] skulle anvende klagers tidligere arbejdscomputer, hvor der fortsat har været adgang til klagers personlige e-mailkonto. Da der var tale om e-mails der angiveligt vedrørte arbejde udført af klager som led i ansættelsen hos Virksomhed [A], gik der noget tid, før Virksomhed [A] fik opfattelsen af, at der reelt var tale om en privat e-mailkonto.
[Y] har til sagen oplyst, at der hverken er tale om personfølsomme oplysninger eller personoplysninger i øvrigt, da der alene er tale om arbejde udført af klager. [Y] har i den anledning anført, at der derfor ikke er sket behandling af personoplysninger, ved Virksomhed [A]’s download og videregivelse af oplysningerne fra klagers private e-mailkonto.
[Y] har dog i tilføjelse hertil oplyst, at såfremt Datatilsynet skulle komme frem til, at der alligevel er tale om behandling af almindelige ikke følsomme personoplysninger, er oplysningerne behandlet efter databeskyttelsesforordningens artikel 6, stk. 1, litra f. Dette eftersom oplysningerne alene er anvendt til retsforfølgning af klager i en civilretssag samt anvendt som bevissikring til politiet.
3. Begrundelse for Datatilsynets afgørelse
Det følger af databeskyttelsesforordningens artikel 4, nr. 1, at ”personoplysninger” er enhver form for information om en identificeret eller identificerbar fysisk person. Ved identificerbar fysisk person forstås en fysisk person, der på grundlag af oplysningerne direkte eller indirekte kan identificeres.
Af præambelbetragtning nr. 26 til databeskyttelsesforordningen fremgår i den henseende:
”For at afgøre, om en fysisk person er identificerbar, bør alle midler tags i betragtning, der med rimelighed kan tænkes bragt i anvendelse af den dataansvarlige eller en anden person til direkte eller indirekte at identificere, herunder udpege, den pågældende. For at fastslå, om midler med rimelighed kan tænkes bragt i anvendelse til at identificere en fysisk person, bør alle objektive forhold tages i betragtning, såsom omkostninger ved og tid der er nødvendig til identifikation, under hensyntagen til den tilgængelige teknologi på behandlingstidspunktet og den teknologiske udvikling.”
Endvidere følger det af databeskyttelsesforordningens artikel 4, nr. 2, at ”behandling” er enhver aktivitet eller række af aktiviteter som personoplysninger gøres til genstand for, f.eks. indsamling, opbevaring og videregivelse ved transmission.
Det er Datatilsynets vurdering, at Virksomhed [A] – ved at tilgå, downloade og videregive e-mails fra klagers private e-mailkonto – har behandlet personoplysninger om klager.
Datatilsynet lægger til grund, at Virksomhed [A], har behandlet personoplysningerne på baggrund af databeskyttelsesforordningens artikel 6, stk. 1, litra f.
Det fremgår af bestemmelsen, at behandling af personoplysninger kan ske, hvis behandlingen er nødvendig for, at den dataansvarlige kan forfølge en legitim interesse, medmindre den registreredes interesser eller grundlæggende rettigheder og frihedsrettigheder, der kræver beskyttelse af personoplysninger, går forud herfor. I det omfang Virksomhed [A] måtte forfølge en legitim interesse ved at bevissikre oplysninger fra klagers private e-mailkonto til brug for en civil retssag og en politianmeldelse, som følge af en begrundet mistanke om, at klager udførte konkurrerende arbejde i strid med ansættelsesforholdet, finder Datatilsynet, at Virksomhed [A]’s interesse ikke overstiger hensynet til klagers interesse i at holde sin private e-mailkonto privat.
Datatilsynet har herved lagt vægt på, at det ved vurderingen af behandlingen skal tages i betragtning, at der var tale om en personlig e-mailkonto, og dermed ikke en e-mailkonto som arbejdsgiveren havde rådighed over. Datatilsynet har endvidere lagt vægt på, at undersøgelsen og gennemgangen alene var rettet mod klagers arbejdscomputer, idet Virksomhed [A] ved et tilfælde konstaterede, at der fortsat var adgang til klagers e-mailkonto i webbrowseren på arbejdscomputeren.
Datatilsynet har herudover lagt vægt på, at der ved Virksomhed [A]’s søgning i klagers private e-mailindbakke må antages at kunne fremkomme en række e-mails og søgeresultater, som ikke var relaterede til den mulige begrundede mistanke og således ikke kom Virksomhed [A] ved.
Endelig har Datatilsynet ved vurderingen lagt vægt på, at Virksomhed [A] fortsatte søgningen og downloadede klagers personlige e-mails, efter Virksomhed [A] blev bekendt med at der var tale om klagers private e-mailkonto.
Datatilsynet finder på den baggrund, at behandlingen ikke kunne ske inden for rammerne af databeskyttelsesforordningens artikel 6, stk. 1, litra f.
På baggrund af ovenstående finder Datatilsynet, at der er grundlag for at udtale alvorlig kritik af, at Virksomhed [A]’s søgning, opbevaring og videregivelse af oplysningerne om klager fra klagers private e-mailkonto, ikke er sket inden for rammerne af databeskyttelsesforordningens artikel 6, stk. 1, litra f.
[1] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).
[2] LBK nr. 434 af 25/04/2024