Céges email-fiókok magáncélú használata: tiltsuk, tűrjük vagy támogassuk?

Az elmúlt mintegy fél évben összesen 1.700.000 forint adatvédelmi bírságot szabott ki a NAIH három ügyben céges email-fiók magáncélú használata miatt. Az elmarasztaló határozatok a munkavállalók e-mail fiókjának ellenőrzése és az azokhoz való hozzáférés kapcsán születtek. Habár az egyes bírságok nagyságrendje alatta marad NAIH eddigi legnagyobb összegű, 100 millió forintos bírságának, a határozatokban felvetett kérdés minden olyan cég és egyéb szervezet számára releváns, amely céges e-mail fiókokat bocsát a munkavállalói rendelkezésére. A kérdéses ügyekben ugyanis a hatóság alapvetően az előzetes tájékoztatás hiányával és a hozzáférési jog nem vagy nem megfelelő biztosításával kapcsolatban állapított meg hiányosságokat. Az alábbiakban bemutatjuk melyek voltak ezek, és hogy hogyan lehet ezeket kiküszöbölni, valamint felvetünk egy ellenérvet a NAIH azon álláspontjával szemben, amely szerint a munkáltató és a munkavállaló közös adatkezelők lennének a munkavállaló privát e-mailjei vonatkozásában.

Hozzáférés a munkavállaló e-mail fiókjához

A NAIH/2019/769. sz. ügyben (a határozat kelte 2019. október 15.) a munkáltató betekintett a betegszabadságon levő munkavállaló e-mailjeibe, annak érdekében, hogy a keresőképtelen munkavállaló helyettesítését el tudják látni. A munkáltató az ellenőrzés során több szabályszegést is talált, többek között azt, hogy a munkavállaló, bár nem volt engedélyezve neki, magán célra is használta a fiókját. A munkavállaló panasszal élt, mivel az ellenőrzésről nem kapott előzetes értesítést, így nem volt alkalma átmásolni és törölni a magánjellegű adatait (pl. privát telefonszámok, üzenetek). A NAIH 1.000.000 forintos bírságot szabott ki a munkáltatóra.

A NAIH/2019/51/11. sz. ügyben (a határozat kelte 2019. december 11.) a munkáltató egy kórházigazgató e-mail fiókját állíttatta vissza az archivált dokumentumokból, annak ellenére, hogy az érintett azt tudta, hogy valamennyi levelét törölték. Az első esethez hasonlóan a kérelmező panasszal élt, mivel nem kapott előzetes tájékoztatást arról, hogy az e-mail fiókját újra aktiválni fogják, így nem volt lehetősége átmásolni és törölni magánjellegű levelezését, amelyek küldésére és fogadására egyébként jogosult volt. A NAIH 500.000 forintos bírságot szabott ki a munkáltatóra.

A NAIH/2020/34/3. sz. ügyben (a határozat kelte 2020. június 8.) a korábbi munkavállaló archív (részben magánjellegű) e-mailjeihez történő hozzáférés megtagadása miatt indult az eljárás. Bár a korábbi munkaviszonnyal kapcsolatban keletkezett, a munkavégzéshez szükséges levelezéshez történő hozzáférés megtagadása jogszerű lehetett, de a magáncélú levelekhez történő hozzáférés megtagadása sértette az érintett hozzáférési jogát. Továbbá a munkáltató a hozzáférési jog iránti kérelem elutasítása során nem adott megfelelő tájékoztatást az érintett részére, így akadályozta az érintetti jog gyakorlását. A NAIH 200.000 forintos bírságot szabott ki a munkáltatóra.

Az adatkezelés jogalapja

2019. április 26-a óta a Munka Törvénykönyve tartalmazza (11/A. §), hogy a munkavállaló a munkaviszonnyal összefüggő magatartása körében ellenőrizhető és ennek keretében a munkáltató technikai eszközt is alkalmazhat, amiről a munkavállalókat előzetesen írásban tájékoztatni köteles, valamint, hogy a munkáltató által a munkavégzéshez biztosított számítástechnikai eszköz főszabály szerint kizárólag a munkaviszony teljesítése érdekében használható. A munkáltató betekinthet az ellenőrzés során a munkaviszonnyal összefüggő adatokba. (A Munka Törvénykönyvébe ezeket a rendelkezéseket beemelő javaslatról szóló összefoglalónk itt olvasható.)

A három ügy mindegyike még a fenti módosítás hatályba lépése előtti adatkezeléssel volt kapcsolatos, de ennek ellenére elhamarkodott lenne azt állítani, hogy ezeknek az ügyeknek semmi relevanciája sincs a jelen szabályozási környezetben. Éppen ellenkezőleg, ugyanis (i) az ellenőrzés jelenleg  is csak akkor jogszerű, ha arról a munkavállalók előzetes tájékoztatást kapnak; (ii) az ellenőrzéssel kapcsolatban a Munka Törvénykönyve említett rendelkezései sem értelmezhetőek jogi kötelezettségként, azért az ellenőrzéssel összefüggő adatkezelésre sem teremtenek önálló jogalapot; (iii) a jogos érdek a céges e-mail fiók magáncélú használatának kifejezett engedélyezése vagy akár hallgatólagos megtűrése esetén felmerül, hogy hogyan lehet egy ellenőrzés során akár több évre is visszamenőleg kiválogatni a magánjellegű leveleket.

A fenti ügyek tanulsága alapján adatkezelésnek nem lehet a jogalapja a munkaszerződés vagy éppen jogi kötelezettség teljesítése, ezért a NAIH a munkavállaló munkavégzésének a munkáltató általi ellenőrzésének céljából végzett adatkezelés esetében az adatkezelés jogalapja a GDPR 6. cikk (1) bekezdés f) pontja szerinti jogos érdek lehet. Közérdekű feladatot ellátó szervek esetén a hatóság alkalmazhatónak látja a GDPR 6. cikk (1) bekezdés e) pontja szerinti jogalapot is, amely szerint a személyes adatok kezelése akkor jogszerű, ha az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges.

Ami a jogos érdeket mint jogalapot illeti, a NAIH lényegében kettős elvárást fogalmaz meg: egyrészt el kell végezni egy általános érdekmérlegelést az email fiókok ellenőrzésének bevezetése előtt, másrészt a munkáltatónak az e-mail fiók használatának konkrét ellenőrzése előtt közölnie kell a munkavállalókkal, hogy az adott esetben milyen érdeke fűződik a munkáltatói intézkedéshez, egy kvázi kiegészítő, az adott esetre vonatkozó érdekmérlegelés formájában, és egyúttal a tiltakozási jogról is tájékoztatást kell adnia. Az előbbi elvárás magától értetődő és az esetek túlnyomó többségében megvalósítható. Utóbbi azonban már komolyabb kihívást jelent, hiszen a belső vizsgálatok természetéből adódóan bármilyen előzetes felhívás komolyan veszélyeztetheti a vizsgálat eredményességét.

A fentieken túl az email-fiókok ellenőrzése általában technológiai módszerekkel, részben automatikusan történik, amely esetben szükséges lehet adatvédelmi hatásvizsgálat elvégzése.

A munkáltató és a munkavállaló mint közös adatkezelők?

A NAIH a fent kiemelt határozataiban rendre ugyanazzal a szövegezéssel foglal állást a magáncélra is használt e-mail fiókokhoz kapcsolódó adatkezelés tekintetében:

„[A]z adatkezelés célját nem a munkáltató határozza meg, hanem a munkavállaló, aki ezáltal adott esetben maga is adatkezelővé válik a harmadik személyek személyes adatai tekintetében a munkavégzésével semmilyen módon össze nem függő adatkezelés vonatkozásában.”

„Ugyanakkor ezen személyes adatok tekintetében is a rendszer működtetése továbbra is a munkáltató feladata és hatásköre, és a személyes adatokat tároló e-mail-fiók feletti rendelkezési jogát sem veszíti el a munkáltató, aki a magáncélú adatok tekintetében ezért adatkezelő marad.

A munkáltató adatkezelői minősége azért sem kérdőjelezhető meg ebben az esetben, mert a magáncélú használat meg nem tiltásával valósul meg és ennek következtében kerülnek, kerülhetnek az általa, a saját maga által meghatározott célú adatkezelésekhez alkalmazott e-mail-fiókba más, munkavállalói célú adatkezeléssel összefüggésben személyes adatok […]”

A fent vázolt rendszerrel pedig azt sugallja a NAIH, hogy mind a munkavállaló, mind a munkáltató adatkezelő a magáncélú levelezés tekintetében.

Abban az esetben viszont, ha mindkét fél adatkezelő, akkor a NAIH meglátása szerint nem különállóan végzik az adatkezelési tevékenységet, hanem mivel „a munkáltatóé az adatkezelés jogszerűségéért való elsődleges felelősség”, ezért a közös adatkezelési viszonyban is lehetnek egymással.

A fenti meglátások alapján azonban a NAIH nem von végső konklúziót, annak ellenére, hogy ezek a meglátások valamennyi határozatban hasonló szövegezéssel jelennek meg. Pedig a közös adatkezelés jelentős többlet adminisztrációs terhet jelenthet a munkáltató számára, hiszen a GDPR 26. cikke szerinti közös adatkezelés esetén a két adatkezelőnek megállapodást kell kötnie, amelyben egyrészt meg kell határozniuk az érintettek tájékoztatásával és jogaik gyakorlásával kapcsolatos feladataik megoszlását, aminek lényegét az érintettek (az a munkavállaló privát levelezőtársai) rendelkezésére kell bocsátani, másrészt az érintettek számára kapcsolattartót kell kijelölniük. Felmerül a kérdés, hogy akkor ez valóban azt jelenti-e, hogy a munkáltatóknak minden egyes olyan munkavállalójukkal, akinek van céges e-mail fiókja, közös adatkezelői megállapodást kell kötnie, valamint, hogy minden egyes címzett és feladó részére rendelkezésre kell bocsátatni valamilyen formában a megállapodás lényegét és a kapcsolattartó személyét? Ahogy említettük, a NAIH nem ment olyan messzire, hogy ezt kifejezetten előírja, de ha komolyan vesszük a közös adatkezelői minőséget, akkor az ezeket a kötelezettségeket vonja maga után.

Ugyanakkor „menekülő útként” a NAIH azt is megjegyzi, hogy „a munkáltató mindenképpen adatkezelőnek minősül, a munkavállaló pedig – jogi értelemben legalábbis – nem feltétlenül.”  De hogy utóbbi mit jelent, azzal adós marad a hatóság, ami furcsa, hiszen egy hatósági határozat szükségszerűen jogi értelmezésen kell alapuljon. A legkézenfekvőbb értelmezés az, hogy a GDPR hatálya nem terjed ki a személyes adatok kezelésére, ha azt természetes személyek kizárólag személyes vagy otthoni tevékenységük keretében végzik [2. cikk (2) bekezdés c) pont]. [Az Info tv. 2. § (6) bekezdése, amelyet egyébként nem kell alkalmazni a GPDR hatálya alá tartozó adatkezelésekre, hasonló előírást tartalmaz: nem kell alkalmazni az Info tv. rendelkezéseit a természetes személynek a kizárólag saját személyes céljait szolgáló adatkezeléseire.] Tehát, ha a munkavállalók a céges e-mail fiókokat magáncélra is használják, akkor ez az adatkezelésük nem tartozhat a GDPR hatálya alá, ezért közös adatkezelésről sem lehet szó.

Főbb tanulságok a fenti határozatok alapján

  • A munkaszerződésnek vagy belső szabályzatoknak egyértelműen szabályozniuk kell, hogy a munkavállalók használhatják-e munkahelyi e-mail címüket magáncélokra.
  • A munkavállalók rendelkezésére bocsátott e-mail fiókok használatának szabályairól szóló belső szabályzatnak tartalmaznia kell a magáncélú használat tiltásán vagy megengedésén túl egyfelől az e-mail fiókokról biztonsági másolat készítésének és megőrzésének, inaktiválásuknak a szabályozását, illetve ki kell térniük arra, hogy mikor kerül sor az e-mailek végleges törlésére. Másfelől le kell fektetni az e-mail fiókok használata ellenőrzésének, áttekintésének részletes szabályait, továbbá azt, hogy a szervezeten belül ki és milyen módon jogosult azt végrehajtani, valamint milyen jogai vannak az érintett munkavállalónak az eljárás során.
  • Amennyiben a munkáltató nem tiltja meg a munkavállalóknak az e-mail fiók magáncélú használatát, akkor a NAIH értelmezése szerint a munkáltató és a munkavállalók közös adatkezelőknek minősülhetnek a munkavállalók magáncélú levelezése tárgyában, ami jelentős és életszerűtlen adminisztrációs kötelezettséget vonhat maga után.
  • Biztosítani kell, hogy a munkavállalók hozzáférjenek magánjellegű levelezésükhöz, adott esetben még mielőtt a kérdéses e-maileket a munkáltató törli, illetve ők maguk kérhessék a munkáltatót azok törlésére. A magánjellegű e-mailek leválogatására a NAIH szerint kétféleképpen kerülhet sor: a munkavállaló listát küld a magánjellegű e-mailjeiről vagy a munkavállaló és a munkáltató ezen e-maileket közösen leválogatják.
  • A munkavállaló hozzáférési joga nem terjed ki arra, hogy nem magánjellegű, azaz céges e-mailjeihez hozzáférhessen, mivel azok üzleti titkot is tartalmazhatnak. A hozzáférési jog gyakorlásának célja is ennél fogva csak a magáncélú levelezéshez hozzáférésre terjedhet ki, az e-mailek pl. munkajogi perben, a munkáltató ellen történő felhasználása nem felel meg ennek a célnak.
  • Az adatvédelmi tájékoztatóknak tartalmazniuk kell a munkavállalók informatikai eszközei ellenőrzésének céljait (pl. belső vizsgálatok, fegyelmi okok, stb.) és a megfelelő jogalapot azok munkaviszony megszűnését követő kezeléséhez (archiválásához).
  • A munkavállalónak, vagy képviselőjének jelen kell lennie, amikor hozzáférnek a munkavállaló adataihoz, még akkor is, ha a munkavállaló már nem dolgozik az adott munkáltatónál.
  • A munkáltatók kötelesek jegyzőkönyvet készíteni az adatokhoz való hozzáférésről.

Szerzők:

dr. Halász Bálint

partner, ügyvéd

balint.halasz@twobirds.com

dr. Sziládi Péter

ügyvédjelölt

peter.sziladi@twobirds.com



Categories: Adatvédelem, Munkajog

Tags: , , , , , , , , ,

Cookie consent
We use analytics cookies to help us understand if our website is working well and to learn what content is most useful to visitors. We also use some cookies which are essential to make our website work. You can accept or reject our analytic cookies (including the collection of associated data) and change your mind at any time. Find out more in our Cookie Notice.