Munkahelyi e-mail-fiók privát használata: ezért kaphat bírságot a munkáltató

Nem az első eset, amikor egy munkáltató azzal összefüggésben kap adatvédelmi bírságot, hogy megengedte a munkahelyi eszközök (e-mail-cím) magáncélú használatát is anélkül, hogy ezzel összefüggésben megfelelő belső szabályzattal rendelkezett volna. Különösképpen érzékeny terület az e-mail-fiók magáncélú használata. Nézzük, mi a legutóbbi NAIH-döntés tanulsága!

Archívumból kerestek vissza egy szerződéses partnerrel történő levelezést

A hivatkozott esetben a jogvita forrása a munkáltató azon lépése volt, hogy a korábbi vezető archivált e-mail-fiókjának visszaállításával a korábbi levelezésében kerestek egy üzleti partnerrel kapcsolatos anyagot. Habár a keresett dokumentumot nem lelték meg, a volt munkavállaló panaszt nyújtott be a felügyeleti hatósághoz, arra hivatkozva, hogy az e-mail-fiókjának archívumból történő helyreállításával potenciálisan hozzáférhetett a munkáltató a magáncélú levelezéseihez, a banki, fizetési adataihoz is, illetve áttekinthette a tőle segítséget kérő személyekkel folytatott levelezést.

A munkáltató azzal védekezett, hogy az archiváló rendszert maga a panaszos rendelte meg vezetőként, éppen azért, hogy az üzletmenet folytonossága biztosítható legyen, így nemcsak a célt, hanem a rendszer működését is ismerte. Ezen túlmenően az archiválás menetéről az információbiztonsági szabályzat is rendelkezéseket tartalmazott. A hatóság a munkáltató védekezését elégtelennek tartotta, bírsággal sújtotta.

Döntsük el, hogy szabad vagy nem szabad! (Inkább nem szabad.)

Számos munkáltató arra hivatkozik, hogy a munkavállalók részéről elvárás a magáncélú eszközhasználat biztosítása. Ezzel összefüggésben úgy vélik, hogy elfogadható a magánhasználat megengedése, ha a munkavállaló erre tekintettel elfogadja azt, hogy például a levelezéseit – a magáncélú és a munkahelyi célú adatkezelések keveredése okán – megtekintheti a munkáltató. Sok munkáltató hozzájáruló nyilatkozatokat irat alá a munkavállalókkal, és elintézettnek tekinti ezt a kérdést. A helyzet azonban jogilag nem ennyire egyszerű.

Az első szabály az, hogy a munkáltató a munkavállaló magánéletével összefüggő adatait (például a privát levelezését) nem kezelheti, hiszen az nem függ össze a munkaviszony rendeltetésével. Ebből pedig az is következik, hogy a tilalmat akkor is érvényesíteni kell tudni, ha a munkáltató engedélyezi a magáncélú használatot. Ebben az esetben (engedélyezés) ugyanakkor a tilalom érvényesítése lényegesen nehezebb feladat, hiszen úgy kell az adatkezelési folyamatot kialakítani, hogy eközben az egyes adatköröket eltérően lehessen kezelni. Ezt viszont könnyebb leírni, mint megvalósítani, ezért a munkahelyi e-mail-fiók magáncélú használatának engedélyezése nem javasolt.

A magáncélú használat engedélyezésével közös adatkezelés jön létre

Ha a munkáltató engedélyezi a céges e-mail-fiók magánhasználatát, abban az esetben a munkáltató és a munkavállaló között közös adatkezelés jön létre, melynek részleteit a feleknek megállapodásban szabályozniuk kell (lásd NAIH/2019/51., NAIH/2019/769). Ehhez már eleve adatvédelmi szakértelem szükséges.

A munkáltató nem rendelkezhet a munkavállaló privát adataival. Ebből eredően a munkáltatónak, mint adatkezelőnek tájékoztatnia kell a munkavállalót a tervezett adatkezelési műveletekről, és lehetőséget kell arra biztosítania, hogy ezeket kontrollálhassa, a munkáltató által kezelt „privát adatokat” a saját eszközére menthesse. Mindkét félnek kontrollálnia kell az adatszétválogatás folyamatát. Habár szétválogatásra a magáncélú használat kizárása esetén is sor kerülhet (például a tilalom megszegése okán), mennyiségileg más feladatot jelent a munkáltató számára, ha hivatalosan is engedélyezi az adatkeveredést.

A privát adatok kezelése nem csupán nem jogszerű – hiszen annak nincs adatkezelési jogalapja (nem szükséges sem szerződés teljesítéséhez, sem az állami/önkormányzati munkáltató közhatalmi jogosítványának gyakorlásához) –, de azok nem is archiválhatók. A hatóság abban az esetben fogadná el ezen levelezések puszta tárolását biztonsági mentési célból, ha a munkavégzési, illetve a magáncélú levelek egységes adatbázisként történő mentése következtében a magáncélú levelek leválogatása aránytalanul nagy, észszerűtlen erőfeszítést igényelne a munkáltató részéről. Ennek indokoltságát, szükségességét azonban a munkáltatónak kell bizonyítania.

A munkáltatónak továbbá a rendszer működéséről megfelelően tájékoztatnia kell a munkavállalókat, megjelölve számukra azt – egyebek mellett –, hogy milyen időközönként kerül sor biztonsági mentésre a rendszerben, biztosítva ezzel például számukra azt, hogy a mentés előtt ténylegesen törölni tudják a magánlevelezéseiket.

Archiválni lehet, de megfelelő jogalappal és nem korlátlan időre

A levelezés archiválását a felügyeleti szerv legitim eszköznek fogadta el az üzletmenetfolytonosság, illetve az adatbiztonság, valamint a közfeladatot ellátó szervek iratkezelésére vonatkozó szabályok érvényesítése céljából. Ennek jogalapja közhatalmi szerv adatkezelő esetében közhatalmi jogosítvány gyakorlása, egyéb esetekben pedig az adatkezelő jogos érdeke. A magánjellegű levelezés archiválása a munkaviszony megszűnését követően ugyanakkor kivételesen képzelhető el jogszerűen (például, ha a szétválogatás észszerűtlen). További korlátozásként érvényesül a korlátozott tárolhatóság elve, azaz az archivált adatokat rendszeres időközönként felül kell vizsgálni, mivel a személyes adatok kezelése nem lehet készletező (azaz folyamatos).

Előzetes tájékoztatás, eljárásrend szükséges

A tisztességes adatkezelés, illetve az átláthatóság és az elszámoltathatóság követelményeinek érvényesítése céljából az adatkezelő munkáltatónak belső szabályzatot kell alkotnia. Ezen szabályzatban tájékoztatást kell arról adnia, hogy használhatók-e magáncélra az e-mail-fiókok (vagy egyéb eszközök). Ezen túlmenően tájékoztatást kell adni a biztonsági másolatok készítésének, megőrzésének, inaktiválásának szabályairól, valamint a használat ellenőrzésének részletes szabályairól (ki, milyen módon jogosult erre, érintetti jogok stb.). A használat ellenőrzése során pedig – a rendkívüli eseteket leszámítva – valamilyen formában biztosítani kell a munkavállalói jelenlétet. Külön ki kell térni a szabályzatban arra, hogy megszűnő jogviszony esetén milyen – a munkáltató által ellenőrzött – eljárásrend keretében törölheti a munkavállaló a privát adatait (munkavállalói és munkáltatói jelenlét, jegyzőkönyv felvétele stb.).

Magánhasználat tilalma esetén is hasonlóképpen kell eljárni

A hatóság mindkét hivatkozott döntése rámutat arra, hogy privát használati tilalom esetében is kerülhetnek privát adatok a munkáltató eszközére. Ez történhet a tilalom megszegésével vagy harmadik személy magatartásával (például e-mailt küld). A munkáltató ezen adatokat sem kezelheti jogszerűen, így fontos az ellenőrzés során egyrészt a fokozatosság elvének követése (dátum, tárgysor, tartalom ellenőrzése), másrészt pedig a munkavállalói jelenlét biztosítása.

Forrás: adozona.hu