Blog

B

Újabb NAIH bírság: volt munkavállaló archivált e-mail-fiókjában történő jogszerűtlen keresés miatt

dr. Frivaldszky Gáspár

Megjelent: 2019. december 20.

NAIH: volt munkavállaló archivált e-mail-fiókjaiban megfelelő tájékoztatás mellett, a célhoz kötött adatkezelés elvét tiszteletben tartva, megfelelő jogalappal lehet dokumentumkeresést végezni.

Az adatvédelmi hatóság határozatában megtiltotta a munkáltató számára, hogy tárolja a volt munkavállaló archivált céges e-mail fiókjának magánlevelezéseit és kötelezte arra, hogy a volt munkavállaló bevonásával a munkavégzéssel össze nem függő (magáncélú) levelezéseit törölje. A NAIH 500 ezer forint bírságot szabott ki az állami szektorbeli adatkezelőre.

A hatóság utasította az adatkezelőt arra, hogy gondoskodjon a munkavállalók számára biztosított e-mail-fiókok használata, archiválása, illetve az archivált tartalmakban történő dokumentumkeresések során a személyes adatok védelméről, alkossa meg az ezekhez szükséges belső szabályokat és gondoskodjon az érintettek megfelelő tájékoztatásáról.

A hatóság a sok adatkezelő számára fejtörést okozó kérdésben fontos megállapításokat tett:

Az általános adatvédelmi rendelet fogalommeghatározásai alapján a munkavállaló rendelkezésére bocsátott munkahelyi e-mail-fiók adattartalma személyes adatnak, a személyes adaton elvégzett bármely művelet pedig adatkezelésnek minősül.

Jelen ügyben a volt munkavállaló használatában lévő, számára a munkáltató által biztosított úgynevezett „céges e-mail-fiókokat” a munkavállaló magáncélra is használta, azok magáncélú használata engedélyezett is volt számára. A NAIH álláspontja szerint abban az esetben, amikor a munkavállaló magáncélból használja az e-mail-fiókot – függetlenül attól, hogy a munkáltató egyébként megtiltja vagy engedélyezi a magáncélú használatot – az abban tárolt személyes adatok tekintetében maga is adatkezelési tevékenységet végez. A munkáltató és a munkavállaló közötti jogviszonyból adódóan ugyanakkor a munkáltatóé az adatkezelés jogszerűségéért való elsődleges felelősség, hiszen az ő számára állnak elsődlegesen rendelkezésre azok az eszközök (belső szabályozási és technikai operatív intézkedések), amelyekkel a jogszerűség biztosítható.

Fontos tanulság az ügyből, hogy ha a volt munkavállaló magáncélú levelezésének vonatkozásában a munkáltató oldalán nem azonosítható ezen személyes adatok kezelésének semmilyen jogszerű célja, akkor az adatkezelés jogszerűtlen és intézkedni kell a levelek (még archivált változatai közül is) a törlésről.

A munkáltatónak tájékoztatnia kell a volt munkavállalót a tervezett adatkezelési műveletről és lehetőséget kell biztosítania számára, hogy az adatok kezelését (törlését) kontrollálhassa, és – ha a kérdéses adatok törlése esetén azok a volt munkavállaló számára a továbbiakban már nem lennének elérhetők – a munkáltató által nem kezelhető adatokat a maga számára saját eszközre mentse.

„Egy olyan eljárás és mechanizmus kialakítása és megvalósítása szükséges tehát, ahol lehetőség szerint mindkét fél kontrollálja az adatok „szétválogatásának” folyamatát, és ennek során az általa jogszerűen nem kezelhető adatok csak az adat e minőségének megállapításához, a folyamat ellenőrzéséhez legszükségesebb körére korlátozódjon.”

Kérdés, hogy egy olyan munkavállaló esetében, aki évtizedekig fennálló munkaviszonya alatt napi több száz e-mailt kapott és küldött, mennyire életszerű és elvárható a levelek ilyen szintű szétválogatása.

Az adatvédelmi hatóság is észlelte ennek nehézségét, és határozatában a főszabály alól enged kivételt: „A kifejezetten magánjellegű levelezéseket azonban tekintettel arra is, hogy azok kezelése a munkáltató oldaláról nem lehet szükséges semmilyen szempontból, főszabály szerint nem lehet archiválni. A Hatóság abban az esetben fogadná el ezen levelezések puszta tárolását – minden más adatkezelési műveletet kizárva – biztonsági mentési célból, ha a munkavégzési célú és a magáncélú levelek egységes adatbázisként történő mentése következtében a magáncélú levelek leválogatása aránytalanul nagy, ésszerűtlen erőfeszítést igényelne a munkáltató részéről. Ennek indokoltságát, szükségességét azonban a munkáltatónak kell bizonyítania.”

A hatóság azt is elismeri, hogy az e-mail fiók áttekintésének körülményeitől függően elképzelhetőek olyan helyzetek, amikor a volt munkavállaló személyes jelenléte objektív okokból nem biztosítható.

A NAIH határozatában leszögezi továbbá azt is, hogy „az időtartam megjelölése nélküli, korlátlan megőrzési idő úgynevezett készletező adatkezeléshez vezet, amely ellentétes a korlátozott tárolhatóság elvével.” A személyes adatok tárolása az e-mailek esetében is a lehető legrövidebb időtartamra korlátozódhat, és ennek biztosítása érdekében az adatkezelőnek tényleges törlési vagy rendszeres felülvizsgálati határidőket kell megállapítania.

dr. Frivaldszky Gáspár, ügyvéd
adatvédelmi tisztviselő
információbiztonsági vezető auditor
adatvédelmi és adatbiztonsági szakjogász
International Association of Privacy Professional minősített tagja (CIPP/E, CIPM, FIP)

A határozat teljes terjedelmében ezen a linken érhető el.

Címkék: , , , ,

Hozzászólna? Elmondaná véleményét? Várjuk kommentjét.

Konkrét esethez kapcsolódó kérdését tanácsadóink térítés fejében tudják megválaszolni.

  • A csillaggal jelölt mezők kitöltése kötelező
  • E-mail címét adatvédelmi nyilatkozatunk alapján a legszigorúbban őrizzük és nem tesszük közzé.
  • Bejegyzésre érkező hozzászólások moderálására az ABT Adatbiztonsági Tanácsadó Kft. a jogot fenntartja, a megjelenéshez kérjük türelmét

Elfogadom az adatkezelési tájékoztatót

Hozzászólna? Elmondaná véleményét? Várjuk kommentjét.

  • A csillaggal jelölt mezők kitöltése kötelező
  • E-mail címét adatvédelmi nyilatkozatunk alapján a legszigorúbban őrizzük és nem tesszük közzé.
  • Bejegyzésre érkező hozzászólások moderálására az ABT Adatbiztonsági Tanácsadó Kft. a jogot fenntartja, a megjelenéshez kérjük türelmét

Elfogadom az adatkezelési tájékoztatót

Adatvédelmi megfelelés és tévhitek
A Google sem emlékezhet korlátlan ideig a bűncselekményekre