Az Economx információi szerint a Nemzeti Adatvédelmi és Információszabadság Hatóság az elmúlt években több ízben is bírságolt munkáltatókat a munkavállalók személyes adatainak megsértése miatt, ugyanakkor nagyon árnyalt a kép abban a tekintetben, miképp is értékeljük a céges e-mail fiókban folytatott magánleveleket.
Ma már szinte minden vállalat biztosít munkavállalói számára céges e-mail fiókot, ám ezek ellenőrzése és az ezekhez való hozzáférés biztosítása számos kérdést felvet, ráadásul sokak előtt a kontroll körülményei nem is ismertek. Az ugyanis nem működik, hogy a vállalat vezetői csak úgy belenéznek egy dolgozó levelezésébe – mutatott rá lapunk érdeklődésére Markóczy Réka, az act Bán és Karika Ügyvédi Társulás jogásza.
Az ellenőrzés igen érzékeny folyamat, amely során rendkívül körültekintően kell eljárni. Maradéktalanul be kell tartani a jogszabályi előírásokat, különös tekintettel a munka törvénykönyvében és a GDPR-ban foglaltakra.
A Munka törvénykönyve szerint a munkavállaló ugyan ellenőrizhető a munkájával összefüggő magatartásával kapcsolatban, ám kizárólag a munkaviszony miatt használt számítástechnikai eszközön és azon is csak a munkaviszonnyal kapcsolatos adatok megismerése lehetséges. Fontos kitétel, hogy amennyiben nincs más megállapodás, akkor a munkavállaló nem használhatja a céges e-mail fiókját és a céges számítástechnikai eszközöket magáncélra.
Érdemes tisztázni a játékszabályokat
Feltétlenül javasolt tisztázni minden szervezetben, hogy a munkavállalók céges számítógépüket használhatják-e magáncélra, vagy sem – hangsúlyozzák a Saldo szakértői.
Az uniós adatvédelmi rendelet és a Munka törvénykönyve szerint főszabályként a munkáltató által biztosított eszközt a munkavállaló magáncélra nem használhatja, ám ez alól mégis vannak kivételek, és a munkáltató adott esetben szabályzatban engedélyeztetheti.
Az egyik legnagyobb port felvert eset egy elbocsátott egyetemi alkalmazott ügye volt, aki betekintést kért egykori munkáltatója által számára létrehozott és használt email fiókjába, ám a kérést az egyetem megtagadta. Az egykori munkavállaló szerint szüksége lett volna olyan, részben magánjellegű leveleire, amelyek tartalmaznak bizonyos személyes adatokat (például: konferenciajelentkezés, saját jelszavak), valamint magánjellegű levelezést.
Már született egy salamoni döntés Magyarországon
A hatóság salamoni döntése szerint a volt munkavállalónak joga van hozzáférnie személyes adataihoz, korábbi levelezéséhez mindaddig, amíg az egyetem kezeli az adatokat, ám az egyetem jogszerűen tagadta meg a kérést, hiszen a volt munkavállaló akár üzleti titkokat tartalmazó levelekhez is hozzáférhetett volna. Mindez nem jelenti azonban azt, hogy a magáncélú levelezésekhez sem enged hozzáférést az intézmény.
Ám arra is adódik jogi lehetőség, hogy egy tartalomjegyzék alapján a volt munkavállaló kiválogatja, mely elektronikus leveleire lenne szüksége, vagy például az egyetem és az alkalmazott a magáncélú és a munkavégzési célú leveleket közösen leválogatja.
A munkáltató jogos érdekét is figyelembe kell venni
Kálmán Kinga ügyvéd szerint a magyar törvények elismerik a munkáltató azon jogos érdekét, hogy ellenőrizze az alkalmazottai – munkával kapcsolatos – tevékenységét, hogy hozzáférhessek a munkavállalói e-mail-fiókokhoz, ugyanakkor be kell tartani bizonyos szabályokat, melyek korlátozzák az ellenőrzési szabadságot. Az alábbiakra figyelemmel kell lenni:
- tájékoztatni a munkavállalókat arról, hogy engedélyezett-e a magáncélú használat, és ha igen, annak milyen adatkezelési vonzatai lesznek;
- az ellenőrzés olyan eljárást kövessen, melynek során a munkáltató ki tudja szűrni a magáncélú üzeneteket és az ellenőrzést a megfelelő hatáskörrel rendelkező személy végezze;
- az ellenőrzés során legyen biztosítva a munkavállaló megfelelő jelenléte.
Elvárás tehát egy megfelelő belső szabályzat, mely részletesen is lefekteti az adatkezelés, ellenőrzés körülményeit, és amelyet munkatársak is bármikor megismerhetnek. Ám a magánlevelek okozta adatkezelési kockázatok kiszűrése érdekében, megfelelő tájékoztatást követően, érdemes elgondolkodni az ilyen típusú céges e-mail-használat teljes megtiltásán.
Nem elég körültekintőek a cégek
Tehát a munkáltató lényegében engedélyezheti, illetve tilthatja is a magáncélú használatot. Sándor Zsolt András, adatvédelmi szakértő szerint az e-mail cím és a benne tárolt adat nem veszti el a személyes adat jellegét. Azonban a legtöbb cég nem szabályozza és kommunikálja kellően, hogy a céges e-mail cím mire használható.
Alapértelmezetten nem használható például webáruházba való regisztrációkor, nem adható ki csak olyan személynek, aki jelenleg is partnere vagy várhatóan partnere lesz a szervezetünknek. Amennyiben a szervezet ettől eltér és engedélyezi a magánhasználatot, a munkavállaló adatkezelővé válik.
Az Economx információi szerint Magyarországon volt olyan céges e-mail ügy is, ahol kétmillió forint bírságot szabtak ki a munkáltatóra. Nem véletlen, hogy a NAIH már évekkel ezelőtt több mint 40 oldalas tájékoztatót tett közzé a munkahelyi adatkezelés szabályairól.