06. marts 2025

Virksomhed får alvorlig kritik af datatilsynet: uberettiget adgang til tidligere ansats private e-mails

I oktober 2024 satte Datatilsynet fokus på virksomheders ansvar i håndteringen af tidligere medarbejderes personoplysninger ved at udtale alvorlig kritik i en opsigtsvækkende sag. En dansk virksomhed havde uden samtykke tilgået en tidligere ansats personlige e-mailkonto på den ansattes arbejdscomputer og anvendt de hentede e-mails som bevis i en ansættelsesretlig konflikt. Datatilsynet vurderede, at denne fremgangsmåde udgjorde en klar overtrædelse af databeskyttelsesreglerne og understregede vigtigheden af at respektere privatlivets fred – også i juridiske tvister.

Af Lærke Bøje, Stud.jur i DANSK HR og Rie Nielsen, Cand.merc.jur. og DANSK HR’s erhvervsjuridiske rådgiver

Afgørelsen understreger, hvor vigtigt det er for virksomheder at forstå og respektere grænserne for behandling af personoplysninger – også selvom de mener at have legitime interesser på spil. Men hvor går grænsen egentlig? Og hvad kan virksomheder gøre for at sikre, at de ikke ender i en lignende situation?

Da konflikten eskalerede

Sagen opstod i forbindelse med en juridisk tvist mellem en tidligere medarbejder og virksomheden. For at styrke sin sag valgte virksomheden at tilgå den tidligere ansattes arbejdscomputer, hvorved de fik adgang til den ansattes personlige e-mailkonto, hvorfra de downloadede en række mails, der ifølge dem kunne fungere som bevis.

Virksomheden forsvarede sig med, at behandlingen af personoplysningerne var nødvendig for at beskytte deres legitime interesser i retssagen. De mente, at oplysningerne havde betydning for sagens udfald, og at det derfor var det forsvarligt at indhente dem.

Datatilsynet så imidlertid anderledes på sagen, og de vurderede, at denne handling var i strid med databeskyttelsesforordningen (GDPR), der beskytter individers personoplysninger og sikrer, at virksomheder ikke misbruger deres adgang til disse.

En alvorlig overtrædelse

Datatilsynet slog fast, at selvom virksomheder kan have legitime interesser i at beskytte sig selv i en juridisk konflikt, må det aldrig ske på bekostning af medarbejdernes grundlæggende rettigheder.

Der blev lagt vægt på, at:

                    Adgangen til medarbejderens personlige e-mails skete uden samtykke.
E-mails blev downloadet og behandlet uden tilstrækkelig hjemmel og ligeledes downloadet og behandlet efter, at virksomheden var blevet bekendt med, at e-mailkontoen var privat.
Den tidligere ansatte ikke var informeret om, at virksomheden havde tilgået vedkommendes e-mails.
Datatilsynet tager i afgørelsen ikke stilling til, om der også er tale om en overtrædelse i strid med straffelovens §263 om brevhemmelighed, da det ikke hører under Datatilsynets kompetence.

                

Denne sag viser, hvor hurtigt en virksomhed kan komme på kant med lovgivningen, hvis de ikke håndterer medarbejderes personoplysninger korrekt. Datatilsynet understregede, at virksomheder, der krænker persondatafreden på denne måde, ikke kun risikerer alvorlig kritik, men også eventuelle bøder eller yderligere juridiske konsekvenser.

En vigtig lærestreg for virksomheder

Afgørelsen sender et stærkt signal til arbejdsgivere om, at de skal være ekstra opmærksomme på, hvordan de håndterer oplysninger om tidligere ansatte. Mange virksomheder har adgang til en række systemer, e-mails og dokumenter, men hvis denne adgang ikke bliver lukket korrekt ned ved en fratrædelse, kan det føre til brud på databeskyttelsesreglerne.

Datatilsynet har tidligere udtalt, at de ofte modtager anmeldelser om brud på persondatasikkerheden, hvor forhenværende medarbejdere enten har haft adgang til systemer efter fratrædelsen, eller hvor arbejdsgivere har misbrugt tidligere ansattes data.