A cikk frissítése az alábbi linken található:
Céges email-fiókok magáncélú használata: tiltsuk, tűrjük vagy támogassuk? – twobirdsideas.hu
Az elmúlt mintegy fél évben összesen 1.700.000 forint adatvédelmi bírságot szabott ki a NAIH három ügyben céges email-fiók magáncélú használata miatt. Az elmarasztaló határozatok a munkavállalók e-mail fiókjának ellenőrzése és az azokhoz való hozzáférés kapcsán születtek. Habár az egyes bírságok nagyságrendje alatta marad NAIH eddigi legnagyobb összegű, 100 millió forintos bírságának, a határozatokban felvetett kérdés minden olyan cég és egyéb szervezet számára releváns, amely céges e-mail fiókokat bocsát a munkavállalói rendelkezésére. A kérdéses ügyekben ugyanis a hatóság alapvetően az előzetes tájékoztatás hiányával és a hozzáférési jog nem vagy nem megfelelő biztosításával kapcsolatban állapított meg hiányosságokat. Az alábbiakban bemutatjuk melyek voltak ezek, és hogy hogyan lehet ezeket kiküszöbölni, valamint felvetünk egy ellenérvet a NAIH azon álláspontjával szemben, amely szerint a munkáltató és a munkavállaló közös adatkezelők lennének a munkavállaló privát e-mailjei vonatkozásában.
Hozzáférés a munkavállaló e-mail fiókjához
A NAIH/2019/769. sz. ügyben (a határozat kelte 2019. október 15.) a munkáltató betekintett a betegszabadságon levő munkavállaló e-mailjeibe, annak érdekében, hogy a keresőképtelen munkavállaló helyettesítését el tudják látni. A munkáltató az ellenőrzés során több szabályszegést is talált, többek között azt, hogy a munkavállaló, bár nem volt engedélyezve neki, magán célra is használta a fiókját. A munkavállaló panasszal élt, mivel az ellenőrzésről nem kapott előzetes értesítést, így nem volt alkalma átmásolni és törölni a magánjellegű adatait (pl. privát telefonszámok, üzenetek). A NAIH 1.000.000 forintos bírságot szabott ki a munkáltatóra.
A NAIH/2019/51/11. sz. ügyben (a határozat kelte 2019. december 11.) a munkáltató egy kórházigazgató e-mail fiókját állíttatta vissza az archivált dokumentumokból, annak ellenére, hogy az érintett azt tudta, hogy valamennyi levelét törölték. Az első esethez hasonlóan a kérelmező panasszal élt, mivel nem kapott előzetes tájékoztatást arról, hogy az e-mail fiókját újra aktiválni fogják, így nem volt lehetősége átmásolni és törölni magánjellegű levelezését, amelyek küldésére és fogadására egyébként jogosult volt. A NAIH 500.000 forintos bírságot szabott ki a munkáltatóra.
A NAIH/2020/34/3. sz. ügyben (a határozat kelte 2020. június 8.) a korábbi munkavállaló archív (részben magánjellegű) e-mailjeihez történő hozzáférés megtagadása miatt indult az eljárás. Bár a korábbi munkaviszonnyal kapcsolatban keletkezett, a munkavégzéshez szükséges levelezéshez történő hozzáférés megtagadása jogszerű lehetett, de a magáncélú levelekhez történő hozzáférés megtagadása sértette az érintett hozzáférési jogát. Továbbá a munkáltató a hozzáférési jog iránti kérelem elutasítása során nem adott megfelelő tájékoztatást az érintett részére, így akadályozta az érintetti jog gyakorlását. A NAIH 200.000 forintos bírságot szabott ki a munkáltatóra.
Az adatkezelés jogalapja
2019. április 26-a óta a Munka Törvénykönyve tartalmazza (11/A. §), hogy a munkavállaló a munkaviszonnyal összefüggő magatartása körében ellenőrizhető és ennek keretében a munkáltató technikai eszközt is alkalmazhat, amiről a munkavállalókat előzetesen írásban tájékoztatni köteles, valamint, hogy a munkáltató által a munkavégzéshez biztosított számítástechnikai eszköz főszabály szerint kizárólag a munkaviszony teljesítése érdekében használható. A munkáltató betekinthet az ellenőrzés során a munkaviszonnyal összefüggő adatokba. (A Munka Törvénykönyvébe ezeket a rendelkezéseket beemelő javaslatról szóló összefoglalónk itt olvasható.)
A három ügy mindegyike még a fenti módosítás hatályba lépése előtti adatkezeléssel volt kapcsolatos, de ennek ellenére elhamarkodott lenne azt állítani, hogy ezeknek az ügyeknek semmi relevanciája sincs a jelen szabályozási környezetben. Éppen ellenkezőleg, ugyanis (i) az ellenőrzés jelenleg is csak akkor jogszerű, ha arról a munkavállalók előzetes tájékoztatást kapnak; (ii) az ellenőrzéssel kapcsolatban a Munka Törvénykönyve említett rendelkezései sem értelmezhetőek jogi kötelezettségként, azért az ellenőrzéssel összefüggő adatkezelésre sem teremtenek önálló jogalapot; (iii) a jogos érdek a céges e-mail fiók magáncélú használatának kifejezett engedélyezése vagy akár hallgatólagos megtűrése esetén felmerül, hogy hogyan lehet egy ellenőrzés során akár több évre is visszamenőleg kiválogatni a magánjellegű leveleket.
A fenti ügyek tanulsága alapján adatkezelésnek nem lehet a jogalapja a munkaszerződés vagy éppen jogi kötelezettség teljesítése, ezért a NAIH a munkavállaló munkavégzésének a munkáltató általi ellenőrzésének céljából végzett adatkezelés esetében az adatkezelés jogalapja a GDPR 6. cikk (1) bekezdés f) pontja szerinti jogos érdek lehet. Közérdekű feladatot ellátó szervek esetén a hatóság alkalmazhatónak látja a GDPR 6. cikk (1) bekezdés e) pontja szerinti jogalapot is, amely szerint a személyes adatok kezelése akkor jogszerű, ha az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges.
Ami a jogos érdeket mint jogalapot illeti, a NAIH lényegében kettős elvárást fogalmaz meg: egyrészt el kell végezni egy általános érdekmérlegelést az email fiókok ellenőrzésének bevezetése előtt, másrészt a munkáltatónak az e-mail fiók használatának konkrét ellenőrzése előtt közölnie kell a munkavállalókkal, hogy az adott esetben milyen érdeke fűződik a munkáltatói intézkedéshez, egy kvázi kiegészítő, az adott esetre vonatkozó érdekmérlegelés formájában, és egyúttal a tiltakozási jogról is tájékoztatást kell adnia. Az előbbi elvárás magától értetődő és az esetek túlnyomó többségében megvalósítható. Utóbbi azonban már komolyabb kihívást jelent, hiszen a belső vizsgálatok természetéből adódóan bármilyen előzetes felhívás komolyan veszélyeztetheti a vizsgálat eredményességét.
A fentieken túl az email-fiókok ellenőrzése általában technológiai módszerekkel, részben automatikusan történik, amely esetben szükséges lehet adatvédelmi hatásvizsgálat elvégzése.
A munkáltató és a munkavállaló mint közös adatkezelők?
A NAIH a fent kiemelt határozataiban rendre ugyanazzal a szövegezéssel foglal állást a magáncélra is használt e-mail fiókokhoz kapcsolódó adatkezelés tekintetében:
„[A]z adatkezelés célját nem a munkáltató határozza meg, hanem a munkavállaló, aki ezáltal adott esetben maga is adatkezelővé válik a harmadik személyek személyes adatai tekintetében a munkavégzésével semmilyen módon össze nem függő adatkezelés vonatkozásában.”
„Ugyanakkor ezen személyes adatok tekintetében is a rendszer működtetése továbbra is a munkáltató feladata és hatásköre, és a személyes adatokat tároló e-mail-fiók feletti rendelkezési jogát sem veszíti el a munkáltató, aki a magáncélú adatok tekintetében ezért adatkezelő marad.
A munkáltató adatkezelői minősége azért sem kérdőjelezhető meg ebben az esetben, mert a magáncélú használat meg nem tiltásával valósul meg és ennek következtében kerülnek, kerülhetnek az általa, a saját maga által meghatározott célú adatkezelésekhez alkalmazott e-mail-fiókba más, munkavállalói célú adatkezeléssel összefüggésben személyes adatok […]”
A fent vázolt rendszerrel pedig azt sugallja a NAIH, hogy mind a munkavállaló, mind a munkáltató adatkezelő a magáncélú levelezés tekintetében.
Abban az esetben viszont, ha mindkét fél adatkezelő, akkor a NAIH meglátása szerint nem különállóan végzik az adatkezelési tevékenységet, hanem mivel „a munkáltatóé az adatkezelés jogszerűségéért való elsődleges felelősség”, ezért a közös adatkezelési viszonyban is lehetnek egymással.
A fenti meglátások alapján azonban a NAIH nem von végső konklúziót, annak ellenére, hogy ezek a meglátások valamennyi határozatban hasonló szövegezéssel jelennek meg. Pedig a közös adatkezelés jelentős többlet adminisztrációs terhet jelenthet a munkáltató számára, hiszen a GDPR 26. cikke szerinti közös adatkezelés esetén a két adatkezelőnek megállapodást kell kötnie, amelyben egyrészt meg kell határozniuk az érintettek tájékoztatásával és jogaik gyakorlásával kapcsolatos feladataik megoszlását, aminek lényegét az érintettek (az a munkavállaló privát levelezőtársai) rendelkezésére kell bocsátani, másrészt az érintettek számára kapcsolattartót kell kijelölniük. Felmerül a kérdés, hogy akkor ez valóban azt jelenti-e, hogy a munkáltatóknak minden egyes olyan munkavállalójukkal, akinek van céges e-mail fiókja, közös adatkezelői megállapodást kell kötnie, valamint, hogy minden egyes címzett és feladó részére rendelkezésre kell bocsátatni valamilyen formában a megállapodás lényegét és a kapcsolattartó személyét? Ahogy említettük, a NAIH nem ment olyan messzire, hogy ezt kifejezetten előírja, de ha komolyan vesszük a közös adatkezelői minőséget, akkor az ezeket a kötelezettségeket vonja maga után.
Ugyanakkor „menekülő útként” a NAIH azt is megjegyzi, hogy „a munkáltató mindenképpen adatkezelőnek minősül, a munkavállaló pedig – jogi értelemben legalábbis – nem feltétlenül.” De hogy utóbbi mit jelent, azzal adós marad a hatóság, ami furcsa, hiszen egy hatósági határozat szükségszerűen jogi értelmezésen kell alapuljon. A legkézenfekvőbb értelmezés az, hogy a GDPR hatálya nem terjed ki a személyes adatok kezelésére, ha azt természetes személyek kizárólag személyes vagy otthoni tevékenységük keretében végzik [2. cikk (2) bekezdés c) pont]. [Az Info tv. 2. § (6) bekezdése, amelyet egyébként nem kell alkalmazni a GPDR hatálya alá tartozó adatkezelésekre, hasonló előírást tartalmaz: nem kell alkalmazni az Info tv. rendelkezéseit a természetes személynek a kizárólag saját személyes céljait szolgáló adatkezeléseire.] Tehát, ha a munkavállalók a céges e-mail fiókokat magáncélra is használják, akkor ez az adatkezelésük nem tartozhat a GDPR hatálya alá, ezért közös adatkezelésről sem lehet szó.
Főbb tanulságok a fenti határozatok alapján
- A munkaszerződésnek vagy belső szabályzatoknak egyértelműen szabályozniuk kell, hogy a munkavállalók használhatják-e munkahelyi e-mail címüket magáncélokra.
- A munkavállalók rendelkezésére bocsátott e-mail fiókok használatának szabályairól szóló belső szabályzatnak tartalmaznia kell a magáncélú használat tiltásán vagy megengedésén túl egyfelől az e-mail fiókokról biztonsági másolat készítésének és megőrzésének, inaktiválásuknak a szabályozását, illetve ki kell térniük arra, hogy mikor kerül sor az e-mailek végleges törlésére. Másfelől le kell fektetni az e-mail fiókok használata ellenőrzésének, áttekintésének részletes szabályait, továbbá azt, hogy a szervezeten belül ki és milyen módon jogosult azt végrehajtani, valamint milyen jogai vannak az érintett munkavállalónak az eljárás során.
- Amennyiben a munkáltató nem tiltja meg a munkavállalóknak az e-mail fiók magáncélú használatát, akkor a NAIH értelmezése szerint a munkáltató és a munkavállalók közös adatkezelőknek minősülhetnek a munkavállalók magáncélú levelezése tárgyában, ami jelentős és életszerűtlen adminisztrációs kötelezettséget vonhat maga után.
- Biztosítani kell, hogy a munkavállalók hozzáférjenek magánjellegű levelezésükhöz, adott esetben még mielőtt a kérdéses e-maileket a munkáltató törli, illetve ők maguk kérhessék a munkáltatót azok törlésére. A magánjellegű e-mailek leválogatására a NAIH szerint kétféleképpen kerülhet sor: a munkavállaló listát küld a magánjellegű e-mailjeiről vagy a munkavállaló és a munkáltató ezen e-maileket közösen leválogatják.
- A munkavállaló hozzáférési joga nem terjed ki arra, hogy nem magánjellegű, azaz céges e-mailjeihez hozzáférhessen, mivel azok üzleti titkot is tartalmazhatnak. A hozzáférési jog gyakorlásának célja is ennél fogva csak a magáncélú levelezéshez hozzáférésre terjedhet ki, az e-mailek pl. munkajogi perben, a munkáltató ellen történő felhasználása nem felel meg ennek a célnak.
- Az adatvédelmi tájékoztatóknak tartalmazniuk kell a munkavállalók informatikai eszközei ellenőrzésének céljait (pl. belső vizsgálatok, fegyelmi okok, stb.) és a megfelelő jogalapot azok munkaviszony megszűnését követő kezeléséhez (archiválásához).
- A munkavállalónak, vagy képviselőjének jelen kell lennie, amikor hozzáférnek a munkavállaló adataihoz, még akkor is, ha a munkavállaló már nem dolgozik az adott munkáltatónál.
- A munkáltatók kötelesek jegyzőkönyvet készíteni az adatokhoz való hozzáférésről.
Szerzők:
dr. Halász Bálint
partner, ügyvéd
dr. Sziládi Péter
ügyvédjelölt