Op 1 juli 2025 heeft de Geschillenkamer van de Gegevensbeschermingsautoriteit zich uitgesproken over een klacht met betrekking tot gegevensbescherming binnen vennootschappen. De zaak betrof een voormalige aandeelhouder en bestuurder van een vennootschap die na het beëindigen van zijn functies en de overdracht van zijn aandelen, vaststelde dat zijn professioneel e-mailadres binnen de vennootschap actief bleef en zelfs nog gebruikt werd. De klager stelde dat dit gebeurde zonder zijn toestemming en zonder enige voorafgaande informatie over het verdere verloop van zijn e-mailadres na het einde van de samenwerking.
De beslissing van de Gegevensbeschermingsautoriteit bevestigt dat het professioneel e-mailadres van een betrokkene, zelfs als deze geen werknemer is, beschermd wordt door de Algemene Verordening Gegevensbescherming (AVG of GDPR). Het maakt daarbij niet uit of de betrokkene bestuurder, aandeelhouder of werknemer was: zodra de professionele relatie beëindigd is, mogen de bijhorende persoonsgegevens, inclusief het individuele e-mailadres, niet zomaar verder worden verwerkt.
Uit de beslissing volgt dat de bestuurder van de vennootschap vóór het beëindigen van de samenwerking duidelijk moet communiceren wat er met het professionele e-mailadres en de bijhorende e-mailbox zal gebeuren. Er moet uiterlijk op de dag van het vertrek een automatisch antwoord ingesteld worden waarin bijvoorbeeld een algemeen contactadres of de gegevens van een opvolger worden vermeld. Deze automatische verwijzing mag tijdelijk blijven bestaan, in casu oordeelde de autoriteit dat een periode van één tot drie maanden aanvaardbaar is, afhankelijk van de aard van de functie en de noodzaak voor continuïteit, doch de e-mailbox moet na die termijn volledig worden afgesloten.
De tijdelijke verderzetting van het e-mailadres dient het belang van de onderneming, bijvoorbeeld om klanten of leveranciers correct te blijven informeren doch met dien verstande dat dit belang enkel kan ingeroepen worden als de betrokkene daar voorafgaandelijk over geïnformeerd is geweest. Gebeurt dat niet of blijft de e-mailbox langer actief dan strikt noodzakelijk, dan is er sprake van een inbreuk op de AVG/GDPR.
In casu werd een berisping opgelegd aan de onderneming, onder meer omdat intussen was aangetoond dat het e-mailadres intussen wel degelijk werd afgesloten. Toch volgde ook een duidelijke waarschuwing: het gebruik van de e-mailbox of verzenden van e-mails via het e-mailadres van de betrokkene na de toegelaten termijn en zonder voorafgaande communicatie of wederzijdse afspraken, is niet toelaatbaar en strijdig met de regels inzake gegevensbescherming.
Deze beslissing onderlijnt dat ondernemingen niet alleen ten aanzien van werknemers, maar ook ten aanzien van bestuurders en aandeelhouders moeten waken over een correcte en transparante toepassing van de GDPR-regels. Communication is key!
BRON: Beslissing ten gronde 113/2025 dd. 1 juli 2025 van de Geschillenkamer binnen de Gegevensbeschermingsautoriteit.