Munkahelyi e-mail fiók adatkezelése

2020.02.12

Érdekes a NAIH határozata a témában, több tanulsággal jár. Röviden arról van szó, hogy egy cégtől kilépett munkavállaló e-mail fiókjának tartalmát a munkáltató nem törölte, csak archiválta. A dolgozó korábban a fiókot magáncélú levelezésekre is használta, és kilépésekor ezeket a tartalmakat nem törölte. A munkáltató a kilépést követő egy év elteltével a fiókban célzottan egy dokumentumot keresett, amiről előzetesen nem tájékoztatta a volt munkavállalót, és a keresést nem is dokumentálta. Mindezt a NAIH összességében félmillió forintos bírsággal honorálta.

Fontos megállapítás, hogy 

a munkavállaló rendelkezésére bocsátott munkahelyi e-mail-fiók adattartalma személyes adatnak, a személyes adaton elvégzett bármely művelet pedig adatkezelésnek minősül. 

Ebben a helyzetben mind a munkáltató, mind a munkavállaló adatkezelőnek minősül, de míg a munkavállaló adatkezelése kívül eshet a GDPR hatókörén, ha azt kizárólag magáncélból, addig a munkáltató adatkezelése mindenképpen a GDPR hatálya alá esik.

Itt alapvetően két fő esetet kell külön választani. 

Abban az esetben, ha a munkavállaló saját személyes adatainak kezeléséről van szó, és ameddig az adatkezelés a munkavégzéssel összefüggésben történik, addig az adatkezelés jogalapja mindenekelőtt a munkaszerződés. A konkrét ügyben azonban közérdekű feladatot ellátó szervezet  adatkezeléséről van szó, így az adatkezelés jogalapja ezen adatkezelés esetében az általános adatvédelmi rendelet 6. cikk (1) bekezdés e) pontja szerinti jogalap.

Ha azonban a munkavállaló a munkáltató által biztosított e-mail fiókban a munkavégzéssel össze nem függő, magáncélú tevékenységet is folytat, és ennek kapcsán kerül sor saját és harmadik személyek személyes adatainak kezelésére, akkor bonyolultabb a helyzet. Ekkor ugyanis az adatkezelés célját a munkavállaló határozza meg, aki ezáltal maga is adatkezelővé válik. Ő dönt adott esetben harmadik személyek személyes adatainak a fiókba kerüléséről, és amíg a rendelkezése alatt van a fiók, addig kezelőként döntést hozhat ezen adatokról, törölheti, másolhatja, felhasználhatja őket.

Ugyanakkor ezen személyes adatok tekintetében is a rendszer működtetése továbbra is a munkáltató feladata és hatásköre, és a személyes adatokat tároló e-mail-fiók feletti rendelkezési jogát sem veszíti el a munkáltató, aki a magáncélú adatok tekintetében ezért adatkezelő marad. 

Mivel adott esetben a munkavégzéssel összefüggő elektronikus levelek biztonsága érdekében az is munkáltatói döntés eredménye, hogy a munkáltató a munkavállalói e-mail-fiók teljes tartalmát - beleértve a magáncélú leveleket is - egységes adatbázisként archiválja és tárolja, ez is a munkáltató adatkezelői minőségét támasztja alá.

...mivel az adatkezelés körülményei folytán ténylegesen lehetőség van olyan személyes adatok kezelésére az e-mail-fiókban, amelyek az általa kontrollált célból történő adatkezeléssel semmilyen kapcsolatot valójában nem mutatnak - ami egy munkahelyi e-mail-fiók vagy mobiltelefon esetében szinte soha nem zárható ki, munkaeszközként biztosított egyéb számítástechnikai eszköz esetében pedig bár elvárható lenne, az esetek többségében előfordulhat, arra elvárhatóan számítania kell a munkáltatónak -, a saját adatkezelése vonatkozásában szükséges követelmények teljesítése keretében végzett minden adatkezelési tevékenysége szükségszerűen kiterjed ezen adatokra is (mindenekelőtt tárolja azokat), és a saját adatkezelése jogszerűsége biztosításához elengedhetetlen feladatai ellátása keretében hozzáfér ezen személyes adatokhoz.

Az ilyen munkáltató és munkavállaló közti közös adatkezelői helyzetekben fontos tudni, hogy a munkáltató és a munkavállaló közötti jogviszonyból adódóan a munkáltatóé az adatkezelés jogszerűségéért való elsődleges felelősség. Ez érthető is, hiszen az ő számára állnak elsődlegesen rendelkezésre azok az eszközök (belső szabályozási és technikai operatív intézkedések), amelyekkel a jogszerűség biztosítható. Ebből fakadóan a munkáltató felelőssége a helyzet felismerése, és megfelelő munkáltatói intézkedésekkel való kezelése (pl. közös adatkezelés esetén az adatkezelés részleteiről való megállapodás, az adatkezeléssel összefüggő felelősségi viszonyoknak a szabályozása).

Share
Szigethy Tibor adatvédelmi és információbiztonsági menedzser
Az oldalt a Webnode működteti Sütik
Készítsd el weboldaladat ingyen! Ez a weboldal a Webnode segítségével készült. Készítsd el a sajátodat ingyenesen még ma! Kezdd el