De Italiaanse privacytoezichthouder GPDP heeft een Italiaanse elektronicaleverancier een boete van 80.000 euro opgelegd wegens de manier waarop het met de back-up van een mailbox van een ex-werknemer omging. De back-up van de mailbox werd automatisch na het vertrek van de medewerker voor een periode van drie jaar opgeslagen. Na het ontslag besloot de elektronicaleverancier onderzoek te doen naar het mogelijk lekken van bedrijfsgeheimen door het personeel, waaronder door de ex-medewerker.

Het bedrijf liet daarvoor de back-up van de mailbox door een externe partij onderzoeken. De elektronicaleverancier was daarnaast verwikkeld in een gerechtelijke procedure tegen de ex-medewerker wegens het mogelijk lekken van bedrijfsgeheimen. De Italiaanse privacytoezichthouder deed onderzoek naar de zaak en ontdekte dat het bedrijf de ex-medewerker niet had ingelicht over de bewaartermijn van de back-up. Ook stond er niets in de interne procedures vermeld over het onderzoeken van e-mails, back-ups en apparaten.

Daarnaast had het bedrijf volgens de toezichthouder geen gerechtvaardigde reden gegeven om de back-up voor een periode van drie jaar op te slaan en de e-mail toegangslogs voor een periode van zes maanden. Het onderzoek naar het lekken van gegevens maakte volgens de privacytoezichthouder duidelijk dat de gegevens in de back-up niet alleen voor veiligheidsredenen werden gebruikt.

Verder bleek dat het via de back-upsoftware mogelijk was om de activiteiten van medewerkers over een langere periode te monitoren en waren er geen waarborgen aanwezig. Volgens de GPDP is een boete van 80.000 euro dan ook passend. Het bedrijf maakt inmiddels geen gebruik meer van de back-upsoftware.