MÉG EGYSZER A CÉGES E-MAIL FIÓK MUNKÁLTATÓI ELLENŐRZÉSÉRŐL – AZ ADATVÉDELMI HATÓSÁG FRISS DÖNTÉSE

2019 December 11

Közelmúltban közzétett döntésében az Adatvédelmi Hatóság (NAIH) a munkahelyi e-mail fiók magáncélú használatának és ellenőrzésének kérdéseivel foglalkozott. Mivel a téma minden olyan munkáltatót érinthet, aki a munkavégzés céljára e-mail fiókot bocsát a dolgozói rendelkezésére, rövid cikkünkben összefoglaljuk a döntés legfontosabb megállapításait.

1. Tények

A döntés alapjául szolgáló ügyben egy munkáltatót panaszolt be a volt dolgozója a NAIH-nál. A dolgozó arra hivatkozott, hogy volt munkáltatója távollétében átvizsgálta a céges e-mail fiókja, illetve a céges számítógépe tartalmát. A dolgozó az eszközöket magáncélra is használta, azokon számos személyes adatot tárolt.

A munkáltató az eszközöket és az e-mail fiókot alapvetően azért volt kénytelen átvizsgálni, mert a betegség miatt távollévő kolléga helyettesítéséhez szükség volt a munkával kapcsolatban keletkezett, az eszközökön tárolt információkra. A munkáltató ugyanakkor az átvizsgálás során szembesült azzal, hogy a dolgozónál számos elintézetlen ügy halmozódott fel, emiatt – kárelhárításként – további ellenőrzést végzett az eszközökön.

A munkáltatónál egyébként a céges számítástechnikai eszközök használatáról, illetve ellenőrzéséről nem állt rendelkezésre írásos szabályzat, így az sem volt szabályozva, hogy a dolgozók használhatják-e magáncélra a céges e-mail fiókot. Emellett a vizsgálatról sem tájékoztatták előzetesen a munkavállalót.

2. A NAIH lényegesebb megállapításai

A NAIH határozatában előzetesen kifejtette, hogy a munkáltató a munkavállaló céges e-mail fiókjában tárolt, magánlevelezése során keletkező személyes adatok vonatkozásában adatkezelővé válik, függetlenül attól, hogy a céges e-mail fiók magáncélú használata engedélyezett-e vagy sem.

A Hatóság szerint ugyanis az adatkezelés ilyen esetben ténykérdés, ugyanis a munkáltatónak számolnia kell azzal, hogy a munkavállaló tilalom ellenére is használja magáncélra a céges e-mail fiókot, illetve hogy részére olyan harmadik személyek küldenek magéncélú üzenetet erre az e-mail fiókra, akikre a tilalom nem terjedhet ki.

Ezt követően a NAIH kiemelte, hogy a céges e-mail fiók ellenőrzésének szükséges, arányos és jogszerű célja lehet a helyettesítés biztosítása, illetve a munkáltató gazdasági érdekeinek védelme azáltal, hogy az ügyek folyamatos intézése a munkavállaló távollétében is biztosított. Emellett a NAIH hangsúlyozta, hogy az adatkezelés jogalapja ilyen esetben a munkáltató jogos érdeke lehet.

3. A munkáltató által elkövetett jogsértések

Az ügyben tehát nem volt kérdéses, hogy a munkavállaló adatkezelőnek minősült a volt dolgozója céges e-mail fiókjában tárolt személyes adatok vonatkozásában. Bár a NAIH elismerte, hogy a céges e-mail fiók munkáltató általi ellenőrzésére jogszerű célból került sor, az adatkezelés több körülménye is sértette a GDPR-t.

Elsődlegesen, a munkáltató adatkezelése tisztességtelen volt, mert nem biztosította a munkavállaló jelenlétét az ellenőrzésnél. Szűk esetkörtől eltekintve ugyanis a tisztességes adatkezelés csak akkor valósulhat meg, ha a munkavállalót értesítik az ellenőrzésről és lehetővé teszik, hogy ő vagy képviselője jelen legyen az ellenőrzés során.

Ezentúl a munkáltatónak szabályoznia kellett volna az általa biztosított eszközök ellenőrzését, meghatározva, hogy milyen okból kerülhet sor arra, ki, milyen módon végezheti az ellenőrzést, mi az eljárás menete és milyen jogai és jogorvoslati lehetőségei vannak a munkavállalónak.

4. A szankció és az azt befolyásoló tényezők

A NAIH egyrészt kötelezéseket fogalmazott meg a munkáltató számára (pl. a céges e-mail fiók használatának, ellenőrzésének megfelelő szabályozása), valamint 1.000.000 Ft összegű bírságot szabott ki.

A NAIH súlyosító körülményként értékelte, hogy a munkáltató megnehezítette a munkavállaló jogainak gyakorlását (pl. jelenlét biztosításának hiánya), illetve, hogy súlyosan gondatlanul járt el (pl. megfelelő szabályozás, előzetes tájékoztatás hiánya).

Ugyanakkor enyhítő körülményként értékelte a Hatóság többek között, hogy a munkáltató eljárása során nem fért hozzá a munkavállalója magánéletéhez tartozó bizalmas információkhoz, illetve azt, hogy munkavállaló is hozzájárult a helyzet kialakulásához, mivel a személyes jellegű tevékenységét nem különítette el a munkavégzéssel kapcsolatos tevékenységeitől.

5. Összefoglalás

A döntés legfontosabb tanulsága, hogy a NAIH szerint a munkáltatók akkor is adatkezelőnek minősülnek a céges e-mail fiókokba a munkavállaló általi használat következtében „bekerülő” személyes adatok vonatkozásában, ha kifejezetten megtiltották a magáncélú levelezést.

Ez adott esetben meglehetősen nehéz helyzetbe hozhatja a munkáltatót, hiszen egy olyan adatkezelés jogszerűségének követelményeit kellene biztosítania, amelyről nem ő dönt. Megjegyezzük, hogy ráadásul 2019. áprilisa óta maga a Munka Törvénykönyve tiltja a céges eszközök magáncélú használatát.

Amit ebben a „faramuci” helyzetben munkáltatóként mégis megtehetsz, sőt meg is kell tenned az az, hogy az eszközök ellenőrzésének körülményeit a szabályzatban lefekteted, és erről a lehetőségről előzetes tájékoztatást nyújtasz a dolgozóidnak.