Mintegy két évtizede mindennapos jelenség az, hogy a munkáltatói szervezetekben dolgozók elektronikus levelezést folytatnak mind a szervezeten belül, mind azon kívül. Nyilvánvaló, hogy a munkahelyen használt levelezőrendszert a munkáltató éppen olyan munkaeszközként biztosítja, mint a golyóstollat, a villáskulcsot vagy éppen a targoncát. A munkahelyi e-mail-fiók és annak használata azért különbözik a "hagyományos" munkaeszközöktől, mert a klasszikus munkaviszonyon túlmutató területek - a munkavállaló oldalán a magántitokhoz (levéltitokhoz) és a személyes adatok védelméhez való jog,[1] a munkáltató részéről pedig az üzleti titokhoz fűződő jog[2] - komolyan befolyásolják az e-mail mint munkaeszköz használatának és ellenőrzésének korlátait és az azokkal kapcsolatos különböző érdekeket. Az adatvédelmi gyakorlat természetesen elsősorban a munkáltató által történő, a munkahelyi e-mail-fiók biztosításán keresztüli munkavállalói személyes adatok kezelésére összpontosít. A jelen cikkben a Nemzeti Adatvédelmi és Információszabadság Hatóság (a továbbiakban: NAIH) egy döntése alapján mutatom be, hogy milyen kihívásokkal találhatja szemben magát az a munkáltató, amely a munkavállalói részére biztosított, munkavégzési céllal jutatott e-mail-fiók használatát ellenőrizné.
1. Hatósági gyakorlat a GDPR előtt
2. A NAIH jelenlegi álláspontja a munkahelyi e-mailek ellenőrzése kapcsán
2.1. Az ügy tényállása
2.2. A hatóság egyes megállapításai
2.2.1. Ki az adatkezelő, ha a magáncélú használat tiltott?
2.2.2. A tiltott magánhasználattal összefüggő személyes adatok kezelésének jogszerűsége
2.2.3. Az adatkezelés célja és jogalapja az e-mail-fiók ellenőrzése kapcsán
2.2.4. A munkavállaló előzetes tájékoztatása az ellenőrzéssel kapcsolatos adatkezelésről
2.2.5. A munkavállaló jelenlétének biztosítása mint a tisztességes adatkezelés kritériuma
2.2.6. Mely technikai, szervezési intézkedéseket köteles megtenni a munkáltató a munkahelyi levelezés kapcsán?
Elöljáróban szükséges azt megjegyezni, hogy a magyar hatósági gyakorlat a munkahelyi e-mailek ellenőrzése tárgyában nem új keletű. A NAIH 2016. évben kiadott, a munkahelyi adatkezelések alapvető követelményeiről szóló tájékoztatója[3] részletesen foglalkozott a munkahelyi elektronikus levelezőrendszerek munkáltatói ellenőrzésének adatvédelmi szempontjaival, bár az akkori jogszabályi környezetnek[4] megfelelően (az általános adatvédelmi rendelet, azaz a GDPR[5] csak 2018. május 25. napjától alkalmazandó).
A 2016. évi tájékoztató utal arra, hogy a munkáltató az e-mail-fiókok kapcsán mindenképpen kezel személyes adatokat, akkor is, ha a munkáltató megelőző intézkedései ellenére (például a munkáltató kifejezetten megtiltotta a "céges levelezőrendszer" személyes célú használatát) a munkavállalók magáncélra is használják az e-mail-fiókot. A tájékoztató javasolja, hogy a munkáltató alkosson belső szabályzatot a "céges e-mail-fiók" használatának, ellenőrzésének szabályairól, megelőzendő, hogy a munkavállalók (és adott esetben más, a magánjellegű levelezésben szereplő érintettek) személyes adatait indokolatlanul kezelje. A munkáltatónak már előzetesen meg kell határoznia azt, hogy milyen céljai, érdekei miatt kerülhet sor az e-mail-fiók ellenőrzésére. Ezen érdekeknek
- 10/11 -
ténylegesnek és valósnak, a munkáltató tevékenységéhez, piaci helyzetéhez és a munkavállalók munkaköréhez igazodóknak kell lenniük. Ezen túlmenően a munkáltatónak az e-mail-fiók használatának konkrét ellenőrzése előtt közölnie kell a munkavállalókkal, hogy milyen érdeke miatt kerül sor a munkáltatói intézkedésre. Elvárható, hogy a munkáltató a fokozatosság elvét tartsa be: az e-mail-cím és a levél tárgyának az ellenőrzése is elegendő lehet, hiszen bizonyos esetekben már pusztán az e-mail-cím felépítéséből és az e-mail tárgyából is lehet látni azt, hogy az magáncélú e-mailnek minősül, és ezért nem szükséges megismerni annak tartalmát. Ezen túlmenően - a tájékoztató értelmében - biztosítani kell azt is, hogy az ellenőrzés során a munkavállaló jelen legyen.
A NAIH fenti, 2016. évi tájékoztatója óta az adatvédelmi elvárások szigorodtak, a GDPR alkalmazásával az adatkezelők (és a munkáltató is ilyennek tekintendő) felelőssége és a potenciális bírsággal való fenyegetettség kockázata is megnőtt. Ugyanakkor az Mt. is módosításra került: 2019. április 26. napjától egyértelmű jogszabályi rendelkezés szabályozza azt, hogy a munkavállaló a munkáltató által a munkavégzéshez biztosított információtechnológiai vagy számítástechnikai eszközt, rendszert (és az e-mail-fiók kétségkívül ilyen "számítástechnikai eszköznek" tekinthető) - eltérő megállapodás hiányában - kizárólag a munkaviszony teljesítése érdekében használhatja.[6] Megjegyzendő, hogy önmagában a számítástechnikai eszköz magáncélú használatának főszabályszerű tilalma és a munkavállaló munkáltató általi ellenőrizhetősége lehetőségének jogszabályi biztosítása[7] semmiképpen nem ad felmentést a munkáltató számára az adatvédelmi alapelvek mellőzésére, sem pedig arra, hogy a munkáltató a számítástechnikai eszközök használatát akár előzetes tájékoztatás nélkül, akár megfelelő adatkezelési cél és jogalap hiányában végezhesse.
Az alábbiakban ismertetett NAIH/2019/769. számú határozatban[8] a hatóság megállapította, hogy a munkáltató a tisztességes adatkezelés elvébe ütközően kezelte a kérelmező (a volt munkavállaló) személyes adatait a kérelmező e-mail- fiókja áttekintése és ellenőrzése vonatkozásában; az ezen ellenőrzéssel összefüggő adatkezelésről jogellenesen nem nyújtott előzetes tájékoztatást a kérelmező részére. Megállapította továbbá a hatóság, hogy a munkáltató az e-mail fiók ellenőrzésével összefüggő adatkezelése során az elszámoltathatóság alapelvi követelményét megsértve nem tett megfelelő technikai, szervezési intézkedéseket annak érdekében, hogy az általa, a munkavállalók számára biztosított e-mail-fiókok és számítástechnikai eszközök használatával összefüggésben és ennek ellenőrzése során biztosítsa a személyes adatok védelmét és nem gondoskodott az érintettek megfelelő tájékoztatásáról sem. A NAIH utasította a munkáltatót arra, hogy a tisztességes adatkezelés alapelvi követelményével összhangban álló technikai, szervezési intézkedések megtételével gondoskodjon a munkavállalók számára biztosított e-mail-fiókok és számítástechnikai eszközök használatával összefüggésben a személyes adatok védelméről, alkossa meg az ehhez szükséges belső szabályokat és gondoskodjon az érintettek megfelelő tájékoztatásáról, ennek keretében biztosítsa, hogy az e-mail-fiókok, számítástechnikai eszközök ellenőrzésére vonatkozó belső szabályozás és az ellenőrzésre vonatkozó megfelelő tájékoztató megalkotásával végezze a munkavállalók e-mail-fiókjainak, számítástechnikai eszközeinek az ellenőrzését. A NAIH egymillió forint adatvédelmi bírságot szabott ki a munkáltatóra.
A Jogkódex-előfizetéséhez tartozó felhasználónévvel és jelszóval is be tud jelentkezni.
Az ORAC Kiadó előfizetéses folyóiratainak „valós idejű” (a nyomtatott lapszámok megjelenésével egyidejű) eléréséhez kérjen ajánlatot a Szakcikk Adatbázis Plusz-ra!
Visszaugrás
