GDPR

Adatvédelem mindenkinek / Data protection for everyone

Munkavállaló email levelezésének archiválása és munkáltató általi hozzáférés az emailekhez

2019. december 20. 15:30 - poklaszlo

A munkavállalói ellenőrzést érintően a közelmúltban közzétett határozat után a NAIH ismét a munkavállalókat érintő adatkezelési kérdésben foglalt állást és állapított meg 500.000 Ft összegű adatvédelmi bírságot.

A két határozatot érdemes a munkáltatóknak áttanulmányozniuk annak érdekében, hogy ezt a széles körben, számos adatkezelőnél megjelenő adatkezelési tevékenységet úgy tudják végezni, hogy az megfeleljen a GDPR által támasztott követelményeknek, ugyanakkor megfelelően szolgálja az adatkezelői érdekeket is. (A korábbi határozatról itt írtam részletesen.)   

Tényállás

Az adatkezelő az e-mailek megőrzése érdekében egy e-mail archiváló rendszert alkalmazott, mivel korábban többször előfordult, hogy elkeveredtek az elektronikus levelek. (Ennek a bevezetéséről maga az érintett, mint igazgató döntött még korábban.) Ebbe a rendszerbe az igazgatóság levelezéseit archiválták, köztük az érintett által használt e-mail fiókok levelezéseit is. Az archivált e-mailek a postafiók inaktiválása után is elérhetőek maradtak, az archivált leveleknek nincs definiált archiválási ideje. Az archivált tartalomból csak külön hozzáféréssel rendelkező felhasználó tud eltávolítani leveleket.

Külön szabályozás a rendszer működéséről nem készült a szűk érintetti kör miatt (összesen négy postafiókot archiváltak), ezért annak jellemzőiről csupán szóbeli tájékoztatás hangzott el. A munkavállalók az e-mail-fiókok használatáról sem kaptak külön tájékoztatást, az informatikai biztonsági szabályzat tartalmazta a vonatkozó szabályokat.

Az érintettnek megállapodás alapján lehetősége volt jogviszonyának megszűnésétől számított további egy hónapig használni az e-mail-fiókját, ezt követően törölték a fiókot. Egy másik e-mail-fiókját jogviszonyának megszűnése napján inaktiválták. (A munkáltató előadta azt is, hogy az érintett legalább egy hónappal korábban tudta jogviszonya megszűnésének időpontját, így lett volna alkalma arra, hogy postafiókjait karbantartsa.) A munkáltató nyilatkozata szerint az elektronikus postafiók inaktiválása azt jelenti, hogy a fiók a továbbiakban nem él, tartalmát archiválják. A teljes lebonyolított, változtatásmentes fióktartalom tekinthető archívumnak, ebben történt a dokumentumkeresés. Az adatkezelő előadta azt is, hogy postafiók-visszaállítás nem történt, hanem az archívumban egy szerződéses partner által elkészített jogi anyagot kerestek az érintett előzetes értéesítése nélkül és az ő távollétében (munkaviszonya megszűnése után), amelynek során dokumentum lementésére nem került sor (mivel nem találták meg a keresett dokumentumot).

Az érintett azt adta elő, hogy tudomása szerint e-mail-fiókjai törlésre kerültek, arról azonban nem kapott tájékoztatást, hogy jogviszonyának megszűnését követően mi történik a fiókok tartalmával, és arról – bár ő rendelte el az archiváló rendszer bevezetését – sem volt információja, hogy a törlés nem azt jelenti, hogy véglegesen, helyreállíthatatlanul történik meg az e-mail-fiókok törlése, hanem azokat inaktiválják.

Adatkezelés munkahelyi eszközökön

A munkahelyi eszközökön végzett adatkezelés kapcsán a Hatóság lényegében megismételte az október 15-én hozott határozatában (NAIH/2019/769) foglaltakat. E körben a NAIH különbséget tesz a munkaviszonnyal összefüggő adatkezelés és a magáncélból történő adatkezelés között. Előbbi esetében egyértelműen a munkáltató az adatkezelő, utóbbi kapcsán tipikusan mind a munkáltató, mind pedig a munkavállaló adatkezelőnek minősül, sőt közös adatkezelés is megvalósulhat. A NAIH konklúziója alapján a munkáltató magáncélú használat kapcsán sem kerülheti el azt, hogy adatkezelőnek minősüljön:

A munkáltató adatkezelői minősége azért sem kérdőjelezhető meg ebben az esetben, mert a magáncélú használat kifejezett engedélyezésével és tudomása alapján valósul meg és ennek következtében kerülnek, kerülhetnek az általa, a saját maga által meghatározott célú adatkezelésekhez alkalmazott e-mail-fiókba más, munkavállalói célú adatkezeléssel összefüggésben személyes adatok, melyek egyrészt ténylegesen a saját adatkezelései tekintetében is eljáró személyek révén kerülnek oda. (Határozat, 11. o.)

 

A NAIH azt is leszögezi, hogy "a munkáltató és a munkavállaló közötti jogviszonyból adódóan a munkáltatóé az adatkezelés jogszerűségéért való elsődleges felelősség, hiszen az ő számára állnak elsődlegesen rendelkezésre azok az eszközök (belső szabályozási és technikai operatív intézkedések), amelyekkel a jogszerűség biztosítható. Így az ő felelőssége e helyzet felismerése, és megfelelő munkáltatói intézkedésekkel ennek kezelése, így közös adatkezelés esetén az adatkezelés részleteiről való megállapodás, az adatkezeléssel összefüggő felelősségi viszonyoknak a szabályozása is (lényegében az általános adatvédelmi rendelet 26. cikkének megfelelően)."

A magáncélú leveleket (is) tartalmazó e-mail archívumok

a) Adatkezelés célja, jogalapja

A munkáltató az elektronikus postafiókok archiválásának céljaként az adatbiztonság növelésére hivatkozott, melyet a Hatóság általában megfelelő, legitim adatkezelési célnak ismer el, mivel a hivatali működéshez, munkavégzéshez szükséges bizonyos munkavégzéssel összefüggő dokumentumokat megőriznie és esetleges adatbiztonsági probléma esetén helyreállítania kell a munkafolyamatok folytonosságának biztosítása érdekében.

A NAIH Határozat azt is rögzíti, hogy akár a magáncélú levelek archiválása is elfogadható lehet:

A Hatóság elfogadhatónak tartja adott esetben a munkavállalók magáncélra is használt e-mail-fiókjai tartalmának tárolását azon okból, hogy a hivatali működéshez, munkavégzéshez szükséges dokumentumokat megőrizze a Kötelezett a munkafolyamatok folytonosságának biztosítása érdekében, meghatározott ideig, azonban ehhez megfelelő jogalappal kell rendelkeznie, és különbséget kell tenni a levelek tartalma között aszerint, hogy azok a munkavégzéssel függnek össze, vagy magánjellegű e-mailekről van szó.

Jogalapként - az ügyben érintett adatkezelő jogállására tekintettel - a GDPR 6. cikk (1) bekezdés e) pontját (közérdekű feladat teljesítése) jelöli meg a Hatóság. (Egyéb esetben, azaz amikor az adatkezelés nem kapcsolódik közérdekű feladat végrehajtásához, leginkább a jogos érdek, mint adatkezelési jogalap merülhet fel. A Hatóság álláspontja szerint ilyen típusú adatkezelés esetében a szerződés teljesítése, mint jogalap nem megfelelő, mivel az "[...] úgynevezett szerződéses jogalap akkor alkalmazható, ha az adatkezelés a szerződés teljesítéséhez szükséges". Ezt pedig szigorúan kell értelmezni. A NAIH álláspontja szerint "[e]bből következően jelen ügyben tehát az archivált e-mail-fiókok tárolásának jogalapjaként a Kötelezett nem hivatkozhat a munkaszerződésre, mivel a szerződés teljesítéséhez ezen adatkezelés nem szükséges.")

A NAIH rögzíti azt is, hogy a "munkaviszony megszűnése után szintén ezen célból és jogalap alapján archiválhatók, kezelhetők az elektronikus levelek. A kifejezetten magánjellegű levelezéseket azonban tekintettel arra is, hogy azok kezelése a munkáltató oldaláról nem lehet szükséges semmilyen szempontból, főszabály szerint nem lehet archiválni." Ez alól a követelmény alól akkor lehet kivételt tenni a Hatóság álláspontja szerint, ha "a munkavégzési célú és a magáncélú levelek egységes adatbázisként történő mentése következtében a magáncélú levelek leválogatása aránytalanul nagy, észszerűtlen erőfeszítést igényelne". 

b) A korlátozott tárolhatóság elve 

Kiindulásként rögzíti a Hatóság, hogy "[...] az időtartam megjelölése nélküli, korlátlan megőrzési idő úgynevezett készletező adatkezeléshez vezet, amely ellentétes a korlátozott tárolhatóság elvével."

Tekintettel arra, hogy megőrzési idő meghatározására nem került sor, így a korlátozott tárolhatóság elvének a sérelme megállapítható volt.

c) Megfelelő technikai, szervezési intézkedések

Azzal, hogy az adatkezelő nem rendelkezett sem ténylegesen, sem szabályozás szintjén az e-mailek tartalmának megőrzéséről, illetve nem állapított meg tényleges törlési, valamint rendszeres felülvizsgálati határidőket, nem tette meg a szükséges megfelelő technikai, szervezési intézkedéseket, megsértve ezzel a GDPR 24-25. cikkét.

d) A Kötelezett (munkáltató) adatkezelői felelőssége   

A Hatóság a hasonló esetek elkerülése érdekében megfelelő intézkedésnek tartja, ha

  • munkáltató részletesen tájékoztatja a munkavállalókat az archiválásról és annak szabályairól;
  • munkáltató a megszűnő jogviszonyok esetén az érintett munkavállaló számára lehetőséget biztosít arra, hogy törölje magáncélú levelezéseit az általa használt e-mail-fiókokból;
  • a fentieket is megfelelően tartalmazó belső szabályozás kerül megalkotásra;

  • - a magáncélra történő használat engedélyezett -, különálló mappát hozzanak létre a magáncélú levelezésekre, kizárva azokat a biztonsági mentések alól, és egyúttal lehetővé téve adott esetben a munkaviszony megszűnése után azok érintett számára hozzáférhetővé tételét, illetve tényleges törlést.

A magáncélú leveleket (is) tartalmazó e-mail-archívumokban történő keresés

Az archiválás és az archivált postafiókok tárolása mellett vizsgálta a Hatóság az ezen archívumokban lefolytatott keresések jogszerűségének a kérdéseit is.

a) Adatkezelés célja, jogalapja

A munkáltató a munkaviszony során keletkezett hivatalos dokumentumok megtalálására hivatkozott, mint adatkezelési célra, amelyet a Hatóság elfogadhatónak minősített.

Ugyanakkor a Hatóság úgy ítélte meg, hogy a munkaszerződésre (GDPR 6. cikk (1) bekezdés b) pont) ezen adatkezelési céllal összefüggésben nem lehet hivatkozni (az érveléssel kapcsolatban lásd a fentebb írtakat). Ehelyett a közérdekű feladat teljesítése (6. cikk (1) bekezdés e) pont) lehet a megfelelő jogalap. (Egyéb adatkezelők esetében tehát itt is a jogos érdek merülhet fel leginkább, mint az adatkezelés jogalapja.)

Fontos hangsúlyozni azt is, hogy a fenti adatkezelési cél és jogalap kizárólag a munkaviszonnyal összefüggő levelezés kapcsán elfogadható, a magáncélú levelezés tekintetében azonban sérti a célhoz kötöttség elvét és nincs megfelelő jogalapja sem.

b) A tisztességes adatkezelés követelménye

A Hatóság álláspontja szerint a tisztességes adatkezelés elvéből következik, hogy az e-mail-áttekintése során főszabályként biztosítani kell a munkavállaló jelenlétét.

Az adatalany mindvégig alanya kell, hogy maradjon a személyes adatok kezelésével járó folyamatnak, és nem válhat annak puszta tárgyává. A munkavállaló jelenléte nélküli e-mail-fiók áttekintés alapvetően ellentétes a tisztességes adatkezelés elvével, mivel a munkavállaló magánszférájába való behatolásnak minősül. (Határozat, 19. o.)

Azt elismeri a Hatóság is, hogy "elképzelhetőek olyan helyzetek, amikor a munkavállaló személyes jelenléte objektív okokból nem biztosítható". Ilyen esetekben az alábbi lépéseket érdemes megtennie a munkáltatónak a Hatóság ajánlása szerint: 

  • tájékoztatást kell nyújtani a munkavállaló számára a tervezett munkáltatói intézkedésről, 
  • lehetőséget kell biztosítani, hogy ha a munkavállaló nem tud jelen lenni, helyette meghatalmazottja vagy képviselője legyen jelen
  • ha ezek ellenére a munkavállaló nem érhető el vagy nem jelenik meg sem személyesen, sem képviselője útján, akkor távollétében, független harmadik személy alkalmazásával is hozzá lehet férni az e-mail-fiókjához az azonnali intézkedések végrehajtása érdekében, 
  • meg kell mindent tenni, hogy az e-mail-fiók áttekintésének körülményei olyan módon legyenek rögzítve, hogy annak pontos menete, az annak során megismert adatok köre, azaz a ténylegesen elvégzett adatkezelési műveletek, és azok jogszerűsége utólag ellenőrizhető legyen.

c) A megfelelő előzetes tájékoztatás követelménye és az átláthatóság elve

Ahogy arra az október 15-i határozatában is részletesen kitért a Hatóság, a GDPR szerinti általános tájékoztatáson túlmenően a konkrét intézkedés előtt is tájékoztatni kell a munkavállalót az adatkezelésre vonatkozóan.

Bírság megállapítása

Az adatvédelmi bírság megállapítása során a Hatóság enyhítő körülményként vette figyelembe:

  • az adatkezelő elmarasztalására a GDPR megsértése miatt még nem került sor (83. cikk (2) bekezdés e) pont);
  • az adatkezelésért a Kötelezett mint adatkezelő felelős, ugyanakkor az érintett (Kérelmező), mint korábbi igazgató döntött az e-maileket archiváló rendszer bevezetéséről, így elvárható lett volna tőle a rendszer jellemzőinek ismerete (83. cikk (2) bekezdés k) pont);
  • az érintettnek jogviszonyának megszűnésekor lehetősége lett volna postafiókjait karbantartani, törölni személyes levelezéseit (83. cikk (2) bekezdés k) pont);
  • a Hatóság túllépte az ügyintézési határidőt (83. cikk (2) bekezdés k) pont).

A bírságkiszabás során értékelte továbbá a Hatóság azt is, hogy

  • a megállapított adatvédelmi jogsértések szándékosságra utaló körülmények hiányában gondatlan jellegűnek minősülnek (83. cikk (2) bekezdés b) pont);
  • az inaktivált e-mail-fiókokban személyes adatok különleges kategóriái is megtalálhatóak voltak, azonban azokkal a Kötelezett a dokumentumkeresés célzott jellegére tekintettel műveleteket nem végzett (83. cikk (2) bekezdés g) pont).
Szólj hozzá!
Címkék: bírság munkaügy portfolioblogger elszámoltathatóság Magyarország NAIH HU Rendelet közös adatkezelés megőrzési idő munkahelyi adatkezelés korlátozott tárolhatóság

Ajánlott bejegyzések:

A bejegyzés trackback címe:

https://gdpr.blog.hu/api/trackback/id/tr8315360154

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása