Munkavállalók levelezése és személyes adatainak védelme – az ellenőrzés lehetőségei adatvédelmi szempontból

Munkáltatókat gyakran érdeklő kérdés a munkavállalók, volt munkavállalók e-mail fiókjaihoz való jogszerű hozzáférés lehetőségei. A cégek nem véletlenül gondolják, hogy a – tulajdonképpen munkaeszközként biztosított – postafiókok ellenőrzésére, illetve tartalmának megőrzésére jogosultak, akár a munkaviszony megszűnését követően is. Nem szabad viszont figyelmen kívül hagyni, hogy szinte minden esetben érinteni fognak munkavállalói személyes adatokat, ezért akármilyen módon kívánja jogos gazdasági érdekeit biztosítani a munkáltató, az adatvédelmi előírásoknak is meg kell felelnie, különben könnyen megsértheti a személyes adatok védelméhez való jogot, ami adatvédelmi hatósági eljáráshoz (és bírsághoz) is vezethet.

 

A személyes adatok védelméhez való jog megsértésére hivatkozva kérelmezte egy volt munkavállaló hatósági eljárás megindítását volt munkáltatójával szemben, amiatt, hogy volt munkáltatója vizsgálta a munkahelyi e-mail fiókjának tartalmát. A munkáltató által átkutatott e-mail fiók ráadásul egy olyan munkavállalóé volt, akinek már több mint egy éve megszűnt a munkaviszonya. A volt munkavállaló kérelmében előadta, hogy – a tudomása szerint törölt – elektronikus postafiókját a munkáltató visszaállította, majd a levelezésében keresést hajtott végre. Ebből pedig egyenesen következik, hogy a fiók nem lett törölve, csupán inaktiválva és így bármelyik dokumentumához hozzáférhettek, bármely személyes adatát megismerhették, ugyanis magánlevelezést is folytatott azon keresztül.

 

A hatóság eljárása

A hatósági eljárás során kiderült, hogy valójában a postfiókot nem állították vissza, de az archivált – a teljes lebonyolított, változtatásmentes – fióktartalomban keresést hajtottak végre. A keresés elrendelése szóban történt meg és célzottan (feladó és levél tárgya szerint), egy partner által megküldött dokumentum felkutatását kísérelték meg, eredménytelenül. A keresés során azonban nem volt kizárható, hogy személyes adatokat ismerjen meg a munkáltató, hiszen magáncélú levelezéseket, banki, illetve fizetésre vonatkozó tényeket, valamint a munkavállaló bankszámlaszámára, PIN-kódjaira, baráti kapcsolataira vonatkozó információkat, egészségi állapotáról szóló adatokat, valamint a tőle egészségügyi segítséget kérő személyekhez kapcsolódó tudnivalókat is tartalmazott a postafiók.

A munkáltató egy olyan e-mail archiváló rendszer segítségével tudta ezt végrehajtani, aminek bevezetését maga a panaszt benyújtó (volt) munkavállaló rendelt el, az esetleges adatvesztések megelőzése érdekében. A rendszer alkalmazásáról külön szabályozás nem készült, csupán szóban tájékoztatták a rendszert kezelő munkavállalókat. A munkavállalói elektronikus levelezéssel kapcsolatos szabályokról a munkáltató informatikai biztonsági szabályzata tartalmazott általános rendelkezéseket. Ebben bizonyos alapelvek kerültek meghatározásra (konkrét előírások, eljárások szabályozása nélkül) a levelezőrendszer használatával kapcsolatosan, ezek között szerepelt a magáncélú használat engedélyezése is.

A hatóság nem vitatta, hogy a munkáltató a munkaviszony ideje alatt és megszűnését követően is archiválhatja, kezelheti az elektronikus leveleket, jogos érdekére hivatkozva biztonsági mentést is készíthet, de a kifejezetten magánjellegű levelezések kezelése nem lehet indokolt. Viszont hangsúlyozta, hogy minden adatvesztés megelőzését célzó biztonsági rendszer működéséről tájékoztatni kell a munkavállalókat. A munkáltató azonban nem rendelkezett belső szabályzattal az e-mail fiókok és azok tartalmának archiválására, pedig tényleges törlési, valamint rendszeres felülvizsgálati határidőket is meg kellett volna állapítani, annak érdekében, hogy a munkáltató biztosítsa az adatvédelmi elvek érvényesülését. További hiányossága a szabályozásnak, hogy nem tért ki a postafiókokban történő keresés során alkalmazandó eljárásra, adatvédelmi garanciákra, például az érintett munkavállaló, volt munkavállaló értesítésére és jelenlétére vonatkozó szabályokra.

A szabályozás hiánya, a tájékoztatás, illetve a keresés dokumentálásának elmaradása (ami nélkül a munkáltatói intézkedés jogszerűsége utólag ellenőrizhetetlen) és a volt munkavállaló részvételének kizárása miatt – számos enyhítő körülményt is figyelembe véve – mindösszesen 500.000.- Ft összegű bírságot szabtak ki a munkáltatóra. A hatóság többek között figyelembe vette, hogy még nem részesült elmarasztalásban a munkáltató, valamint a volt munkavállaló részéről elvárható lett volna az általa bevezetett rendszer ismerete és lehetősége volt a jogviszonya megszűnésekor a levelező rendszerből eltávolítani a magáncélú leveleket. Ezen kívül a munkáltató részéről nem volt megállapítható az adatvédelmi jogsértés szándékossága. A hatóság a bírság mellett kötelezte a munkáltatót, hogy alkossa meg a hiányolt belső szabályokat és arról megfelelő módon tájékoztassa alkalmazottait.

 

A helyes megoldás

Maga a hatóság is számos megoldást említ határozatában, ami jó mutatja, hogy nem léteznek egységes megoldások, csakis a munkáltatói sajátosságokra figyelemmel lehet hatékony előírásokat kidolgozni.

A főszabály az, hogy a munkavállaló magáncélú levelezéseit a munkaviszony megszűnése után a munkáltató nem archiválhatja, azaz nem tárolhatja tovább. Abban az esetben, ha a munkavégzési célú és magáncélú levelek elkülönítése túlzott terhet jelentene a munkáltató számára, akkor a magáncélú levelek is archiválhatók, azonban ezeken a puszta tároláson kívül semmilyen további műveletet nem végezhet a munkáltató. Ez is csak akkor lehet jogszerű megoldás, ha a munkáltató bizonyítani tudja, hogy a magáncélú levelek leválogatása aránytalanul nagy és észszerűtlen erőfeszítést igényelt volna. Ugyanakkor az archiválás során minden esetben meg kell határozni az archivált dokumentumok megőrzési idejét. Az archiválás ugyanis nem jelenthet korlátlan ideig történő adatmegőrzést. Az archív anyag megőrzésének idejét minden esetben egyedileg, az archiválással támogatott célhoz igazodóan kell meghatározni.

A fentiekből látható, hogy minden olyan munkáltatónál, ahol a munkavállalók munkahelyi e-mail fiókot használnak, az adatkezelés jogszerűségének biztosításához elengedhetetlen belső szabályozás kialakítása. Ez lehet az adatvédelmi vagy informatikai biztonsági szabályzat, sőt, akár az iratkezelési szabályzat is. A lényeg, hogy ki kell terjednie az e-mail fiók munkavállaló általi használatára (pl. magáncélú használat kérdése, adatbiztonsági előírások) és annak munkáltató általi felügyeletére (pl. ellenőrzés, archiválás). Fontos, hogy ez a belső szabályzás az érintett munkavállalók előtt ismert legyen, és ugyanilyen fontos, hogy a szabályzat ne egy valahonnan letöltött iratsablon legyen, mert csak az adott szervezet tényleges működéséhez igazított egyedi megoldás vezethet tényleges adatvédelmi megfelelőséghez.

A bemutatott esetből is látszik, hogy a jogsérelem mellett számos olyan szempontot értékel a hatóság, amit érdemes számba venni az eljárás alá vont munkáltatónak, így az adatvédelemben járatos ügyvéd nem csak a megelőzésben, hanem a hatósági eljárás során is segítség lehet.

 

A fenti tartalom tájékoztató jellegű, s így nem minősül jogi tanácsadásnak. Bármely probléma részletes ismeretének hiányában nem lehetséges az adott kérdésre vonatkozó válaszként értelmezni. A leírtak teljeskörűsége és időbeli helytállósága tekintetében felelősséget nem tudunk vállalni. Ennek megfelelően az itt felvázolt vélemények és következtetések módosulhatnak, különösen egy konkrét tényállás ismeretében. A fentiek elolvasása nem teremti meg az alapját ügyvéd-ügyfél jogviszonynak, így ezen tájékoztató jellegű információk felhasználásából származó bármilyen kárért, elmaradt haszonért felelősséget sem tudunk vállalni. Javasoljuk, hogy minden esetben vegye fel a kapcsolatot irodánkkal!