GDPR σφηνάκι: Αποχώρηση εργαζομένου και επαγγελματικό email

GDPR σφηνάκι: Αποχώρηση εργαζομένου και επαγγελματικό email

του Αιμίλιου Κορωναίου
Δικηγόρου παρ’ Αρείω Πάγω
LL.M. (Aberdeen), ΜΔΕ (Αθήνα)

Το αιώνιο πρόβλημα κατά την αποχώρηση εργαζομένου: τι κάνουμε με την επαγγελματική / εταιρική ηλεκτρονική διεύθυνσή του; Ουκ ολίγες φορές οι επιχειρήσεις επιλέγουν να διατηρήσουν την επαγγελματική ηλεκτρονική διεύθυνση για μεγάλο χρονικό διάστημα, παρά την αποχώρηση του εργαζομένου, ώστε να έχουν πρόσβαση σε τυχόν νέα εισερχόμενα μηνύματα. Αναθέτουν μάλιστα τη διαχείρισή της σε έτερο εργαζόμενο ή προωθούν αυτομάτως όλα τα εισερχόμενα μηνύματα σε τρίτη επαγγελματική ηλεκτρονική διεύθυνση της ίδιας επιχείρησης. Είναι νόμιμη η πρακτική αυτή; Η απάντηση είναι εμφατικά όχι κατά την εποπτική αρχή του Βελγίου, η οποία στα τέλη Σεπτεμβρίου επέβαλε σχετικό πρόστιμο ύψους 15.000 ευρώ για παραβιάσεις ιδίως των άρθρων 5 και 6 του GDPR (απόφαση 64/2020).

Η υπόθεση αφορούσε τις εταιρικές ηλεκτρονικές διευθύνσεις αποχωρήσαντος CEO εταιρείας και λοιπών στελεχών της, οι οποίες περιείχαν στοιχεία του ονοματεπώνυμού τους. Η εμπλεκόμενη εταιρεία επέλεξε να μην απενεργοποιήσει τα εν λόγω εταιρικά emails addresses, προωθώντας τα εισερχόμενα σε αυτά μηνύματα σε τρίτη ηλεκτρονική διεύθυνση της εταιρείας, για μεγάλο χρονικό διάστημα. Σύμφωνα με την οικεία απόφαση της εποπτικής αρχής, η ως άνω πρακτική της εμπλεκόμενης εταιρείας ήταν παράνομη, με αποτέλεσμα την επιβολή του προαναφερθέντος προστίμου. Κατά την ίδια απόφαση, ο ορθός χειρισμός επαγγελματικού email address αποχωρούντος εργαζόμενου συνοψίζεται ιδίως στα εξής 5 πρακτικά βήματα: α) ενημέρωση του εργαζομένου που αποχωρεί ότι η επαγγελματική ηλεκτρονική διεύθυνσή του θα μπλοκαριστεί, β) δημιουργία αυτοματοποιημένου απαντητικού μηνύματος για κάθε εισερχόμενο μήνυμα στην επαγγελματική ηλεκτρονική διεύθυνση, πριν αυτή μπλοκαριστεί, που θα ενημερώνει για την αποχώρηση του εργαζομένου και τα νέα στοιχεία επικοινωνίας του, γ) μπλοκάρισμα της επαγγελματικής ηλεκτρονικής διεύθυνσης το αργότερο κατά την ημέρα αποχώρησης του εργαζομένου, δ) διατήρηση του προαναφερθέντος αυτοματοποιημένου απαντητικού μηνύματος για εύλογο χρονικό διάστημα, κατά κανόνα για 1 μήνα, με δυνατότητα παράτασης υπό προϋποθέσεις, ε) διαγραφή της επαγγελματικής ηλεκτρονικής διεύθυνσης.

Τα ως άνω συμπεράσματα της εποπτικής αρχής του Βελγίου μπορούν να φανούν χρήσιμα για τη διαμόρφωση της οικείας εσωτερικής Πολιτικής που θα πρέπει να υφίσταται εντός της εκάστοτε επιχείρησης για το εν λόγω ζήτημα σε συμμόρφωση με τον GDPR.

Τα ως άνω συμπεράσματα της εποπτικής αρχής του Βελγίου μπορούν να φανούν χρήσιμα για τη διαμόρφωση της οικείας εσωτερικής Πολιτικής που θα πρέπει να υφίσταται εντός της εκάστοτε επιχείρησης για το εν λόγω ζήτημα σε συμμόρφωση με τον GDPR.