Belgijsko nadzorno tijelo utvrdilo je da je voditelj obrade prekršio članak 5. stavak 1. GDPR-a jer nije na vrijeme izbrisao elektroničku poštu bivšeg zaposlenika. DPA kao nadzorno tijelo je navelo da se email mora deaktivirati zadnjeg radnog dana, a automatski odgovor unutar jednog mjeseca ili iznimno 3 mjeseca od prestanka rada.
Ispitanik je radio kod voditelja obrade oko deset mjeseci, do 6. lipnja 2023. Tijekom njegovog zaposlenja kreiran je Microsoft račun.
Ispitanik je nakon otkaza ugovora o radu voditelju obrade podnio zahtjev za pristup podacima te ga pitao koje podatke još obrađuje o njemu, ali nije dobio odgovor.
Uz navedeno, ispitanik je tvrdio da je njegov poslovni korisnički račun još uvijek aktivan jer je, kada je poslao elektroničku poštu na svoju prijašnju adresu, primio potvrdu isporuke. Stoga je 24. listopada 2023. podnio pritužbu belgijskom DPA-u.
Belgijsko nadzorno tijelo smatralo je da je za poštivanje načela ograničenja svrhe (članak 5. stavak 1. točka (b) GDPR-a), u kombinaciji s načelima smanjenja količine podataka (članak 5. stavak 1. točka (c) GDPR-a) i ograničenja pohrane (članak 5. 1)(e) GDPR), voditelj obrade trebao poslati automatsku obavijest ispitaniku najkasnije do njegovog zadnjeg radnog dana i trebao je biti unaprijed obaviješten o tome.
Automatska obavijest da osoba više nije zaposlena kod voditelja obrade je nužna.
˝XYSGH CGTFGH više nije zaposlenik Mljekare d.o.o. Molimo Vas da svoj upit pošaljete na …..@......com
Ova poruka ne prosljeđuje se automatski.
…..˝
DPA je naveo da ova automatska poruka upozorava da ispitanik više ne obavlja svoje aktivnosti unutar pojedinog voditelja obrade i da bi trebala biti aktivirana tijekom razumnog vremenskog razdoblja, u načelu kroz 1 mjesec. Naravno, potonje navedeno ovisi o kontekstu i stupnju odgovornosti koju zaposlenik ima, može se dopustiti i dulje razdoblje, no ne dulje od 3 mjeseca.
U ovom konkretnom slučaju, DPA je potvrdio da je razdoblje moglo biti između 1 i 3 mjeseca i da ga je trebalo produžiti tek nakon što je ispitanik dao svoj pristanak. Doista, budući da je ispitanik završio svoj radni odnos 6. lipnja 2023., adresa e-pošte trebala je biti ugašena 6. srpnja 2023. ili 6. rujna 2023. U međuvremenu, ispitanik je dokazao da je 13. studenog 2023. adresa e-pošte još uvijek bila aktivna te je stoga DPA utvrdio kršenje članka 5. stavka 1. točke (b) GDPR-a, članka 5. stavka 1. točke (c) GDPR-a i članka 5. stavka 1. točke (e) GDPR-a.
U pogledu pravne osnove, DPA je jasno zauzeo stav da bi pravna osnova za ovu aktivnost obrade mogla biti legitimni interes voditelja obrade da osigura pravilno funkcioniranje tvrtke prema članku 6. stavku 1. točki (f) GDPR-a. Međutim, DPA je primijetio da nema dokaza koji potvrđuju da je voditelj obrade obavijestio ispitanika o primjenjivoj pravnoj osnovi. Slijedom toga, može se reći da je voditelj obrade osobne podatke ispitanika obradio protivno njegovim očekivanjima te je kao posljedica toga bila ta da je DPA utvrdio da u ovom konkretnom slučaju ne postoji pravna osnova primjenjiva na obradu adrese e-pošte nakon raskida ugovora između ispitanika i voditelja obrade. Zaključak svega je bio jasan- voditelj obrade prekršio je i članak 6. stavak 1. GDPR-a.
Zbog nezatvaranje službene email adrese na vrijeme DPA je izrekao voditelju obrade opomenu. U drugim istovrsnim slučajevima izricana je i novčana kazna.
Što se tiče zahtjeva za pristup podacima, DPA je smatrao da je voditelj obrade povrijedio pravo na pristup ispitanika budući da nema dokaza da je voditelj obrade ikada odgovorio. Navedeno ponašanje dovelo je do kršenja članka 15. stavak 1. GDPR-a, u vezi s člankom 12. stavkom 3. i (4. ) GDPR. DPA je naložio voditelju obrade da se pridržava odluke u roku od 30 dana nakon odluke.
Voditelji obrade bi se trebali pripremiti za ovu situaciju unaprijed i napisati jasne procedure koje će obuhvatiti i ovo pitanje.
U praksi se često osporava spomenuti maksimalni rok od tri mjeseca. Općenito se smatra da bi, ovisno o okolnostima, duže razdoblje moglo biti opravdano. Na primjer, netko tko je često dolazio u kontakt s klijentima i godinama radio kod voditelja obrade.
Koliki je onda rok dopušten- ovisi o vašoj procjeni svrhovitosti no ne smije se zanemariti i stavove nadzornih tijela.
