• NDAlegal

A céges e-mail fiók munkáltatói ellenőrzésének főbb jellemzői, buktatói

A 2019-es év számos kihívást és változást hozott az adatvédelem területén. Több jogszabály módosítására sor került, megszülettek az első magyar GDPR-ral kapcsolatos adatvédelmi bírságok, és még az év vége előtt a Hatóság (NAIH) is közzétette a munkahelyi e-mail fiókok ellenőrzésével kapcsolatos legfrissebb határozatait.


Jelen cikkünkben a céges e-mail fiók munkáltatói ellenőrzése kapcsán szeretnénk röviden összefoglalni a legfontosabb tudnivalókat, ezzel is elősegítve egy esetleges bírság elkerülését és a helyes, GDPR rendelkezéseinek megfelelő munkáltatói szabályozás és gyakorlat kialakítását.

Általános szabályként kimondható, hogy a munkavállaló rendelkezésére bocsátott munkahelyi e-mail fiók adattartalma személyes adat, és ezen személyes adaton elvégzett bármely művelet adatkezelésnek minősül.


Ebből kifolyólag a személyes adatok jogszerű adatkezeléséhez szükséges megfelelő GDPR szerinti jogalappal rendelkeznie az adatkezelőnek, ezen felül pedig szükséges az érintettek megfelelő tájékoztatásáról is gondoskodnia. Ugyanakkor nem elhanyagolható kérdés az, hogy ki is minősül adatkezelőnek az e-mail fiókban tárolt adatok kezelése során, hiszen az Mt. módosult rendelkezései értelmében főszabály szerint a céges e-mail fiókot csak a munkaviszony teljesítése érdekében használhatja a munkavállaló, magáncélra nem.


Abban az esetben, ha a céges e-mail fiókot a munkavállaló munkavégzése érdekében használja, adatkezelési tevékenységet végez, viszont az adatkezelése a munkavégzésével függ össze, így tulajdonképpen ebben az esetben a munkáltató, mint adatkezelő nevében jár el, tehát a munkavállaló adatkezelői tevékenysége a munkáltató tevékenységeként fogható fel, vagyis a munkáltató minősül adatkezelőnek.


Érdemes azonban foglalkozni azzal az esettel is, ha a munkáltató külön megállapodásban engedélyezi a munkavállalóknak a céges e-mail fiók magáncélú használatát. Ilyen esetben az adatkezelés célját tulajdonképpen a munkavállaló határozhatja meg, ő dönt a személyes adat e-mail fiókba történő kerüléséről. Viszont a használt rendszer továbbra is a munkáltató hatáskörében és feladatkörében marad, valamint a személyes adatokat tároló e-mail fiók feletti rendelkezési jogát sem veszti el a munkáltató, tehát a munkáltató adatkezelő marad a magáncélú adatok vonatkozásában is. Lényegében egy sajátos együttes adatkezelési helyzetről beszélhetünk a magáncélú használat engedélyezésekor. Ez pedig azért fontos, mert a munkavállalók esetében elképzelhető, hogy magáncélból kezelik az e-mail fiókban tárolt akár harmadik személyekre vonatkozó személyes adatokat, vagyis adatkezelésük nem tartozik a GDPR hatálya alá, ugyanakkor a munkáltatókat magáncélú használat esetén is adatkezelőnek kell tekinteni. Ez pedig kiemelten fontos, mert így végső soron az adatkezelés jogszerűségéért elsődlegesen a munkáltató fog felelni.


A munkálatónak ezért a céges e-mail fiókok esetében is szükséges megfelelő GDPR szerinti jogalappal rendelkeznie az adatok kezelése kapcsán, illetve azt is el kell döntenie, hogy engedélyezi-e az e-mail fiók magáncélú használatát. Engedélyezés esetén mindenképp érdemes belső szabályzatot alkotnia, amelyben a munkavállalókkal együttesen állapíthatja meg azokat a feltételeket, amelyek az e-mail fiók magáncélú használatához kapcsolódnak. Javasolt lehet a felelősségüket is rendezni a dokumentumban egy későbbi vita elkerülése érdekében.


Munkáltatóként eleget kell tenni a GDPR és az Mt. szerinti tájékoztatási kötelezettségnek is, azaz szükséges arról is tájékoztatni a munkavállalókat, hogy készülnek-e biztonsági mentések az e-mail fiókról és amennyiben igen, meddig kerülnek azok megőrzésre, vagy például a munkaviszony bármely okból történő megszűnésekor mi történik a személyes adatokkal.

A megfelelő tájékoztatás azt is jelenti, hogy a munkáltatónak tájékoztatnia kell a munkavállalóit arról, hogy ellenőrzi-e a céges e-mail fiókok használatát, és ha igen, milyen célból, milyen munkáltatói érdekek miatt kerülhet sor arra, illetve az ellenőrzés lefolytatására pontosan ki is jogosult, mi az eljárás menete és milyen szabályokat alkalmaz az eljárás során a munkáltató, valamint, hogy milyen jogai vannak az érintett munkavállalóknak az ellenőrzéskor.


Fontos az is, hogy a munkáltatóknak meg kell felelniük a tisztességes adatkezelés elvének, ez pedig akkor tekinthető biztosítottnak, ha például a céges levelezés ellenőrzésekor a munkavállaló vagy képviselőjének, meghatalmazottjának jelenléte biztosított.


A hatósági gyakorlat alapján (például: NAIH/2019/51./11. és NAIH/2019/769. számú határozat) is javasolt a jogviszony megszűnése esetén mindenképp biztosítani a munkavállalónak, hogy törölje levelezéséből magáncélú e-mailjeit. Jó gyakorlatnak tartja például a Hatóság a magáncélú eszközhasználat engedélyezése esetén, ha a munkáltató biztosítja munkavállalóinak azt, hogy külön mappába menthessék magánleveleiket és ezen mappáról biztonsági mentést a munkáltató nem készít, illetve jogviszony megszüntetésekor a munkavállalónak lehetősége van azt törölni.


A hatósági gyakorlatra figyelemmel érdemes pár szót ejteni az elektronikus postafiókok archiválásáról is. Azzal a Hatóság is egyetért, hogy általában az e-mail fiókok archiválásának célja az adatbiztonság növelése, ugyanis egy esetleges adatbiztonsági probléma esetén könnyedebben helyreállíthatók ily módon a sérült, elveszett adatok, ezzel pedig biztosítható a munkafolyamatok folytonossága adott munkáltatónál.


Nyilvánvaló azonban, hogy nem lehetséges az örökkévalóságig tárolni ezeket az adatokat, ahhoz, hogy a munkáltató megfeleljen a GDPR elveinek, szükséges konkrét törlési, illetve felülvizsgálati határidőket is megállapítania. Ha nem állapít meg a munkáltató konkrét határidőket, akkor az adatkezelése akár készletező adatkezelést is megvalósíthat, ami pedig a GDPR szerinti célhoz kötöttség és adattakarékosság elvének megszegését jelenti már, amely következményként adatvédelmi bírság kiszabását is vonhatja maga után.


Amennyiben kérdése lenne vagy segítségre van szüksége a céges munkaeszközök ellenőrzésével, vagy éppen a hatósági gyakorlatnak történő megfeleléssel kapcsolatban, forduljon Irodánkhoz bizalommal, adatvédelemben és munkajogban jártas kollégáink készséggel állnak rendelkezésére.


dr. Tarjányi Karolina

dr. Nagy Dóra Adriána