Céges e-mail fiók használatának ellenőrzése

A munkahelyek jelentős részében a munkáltató – leggyakrabban név@cégnév.hu felépítésű e-mail címmel – céges e-mail fiókot bocsát a munkavállalók rendelkezésére annak érdekében, hogy a munkavállalók ezen keresztül tartsák egymással a kapcsolatot, vagy a munkáltató képviseletében levelezzenek az ügyfelekkel, más személyekkel, szervezetekkel. A céges e-mail fiók használatával kapcsolatban a leggyakrabban felmerülő adatvédelmi problémát az okozza, amikor a levelezőrendszert a munkavállalók – a munkáltató megelőző intézkedései ellenére is (pl. a munkáltató megtiltja a céges levelezőrendszer személyes célú használatát) saját, személyes céljaikra is használják, a munkáltató pedig ellenőrizni szeretné a céges e-mail fiók tartalmát, a munkavállaló által ott folytatott levelezést (lásd a NAIH 2016. október 28-i tájékoztatója).

A munkavállaló rendelkezésére bocsátott munkahelyi céges e-mail fiók (illetve laptop, telefon) adattartalma személyes adatnak, a személyes adaton elvégzett bármely művelet pedig adatkezelésnek minősül.

Ettől elkülönülő kérdés, hogy a személyes adatok, illetve az adatkezelés kizárólag a munkavégzéssel, annak céljaival függ össze, vagy magáncélból történik, amely az adatkezelő személyének, illetve az adatkezelés jogszerűségének megítélésekor bírhat jelentőséggel (NAIH/2019/51/11., NAIH/2019/769., NAIH/2020/34/3.).
A magáncélú levelezés, illetve használat belső szabályzatban megvalósuló tiltása egy objektív követelményt jelent az adatkezelő munkatársaira nézve, azonban a munkatárs részére üzenetet küldő harmadik személyekre nézve – a belső levelezést leszámítva – nem terjed ki a szabályzat hatálya, így bármikor magáncélú, az adott munkavégzéssel, munkáltatói tevékenységgel össze nem függő személyes adatokat tartalmazó levél érkezhet a munkatárs elektronikus levélfiókjába. Az adatkezelés megvalósulását ugyanis – az általános adatvédelmi rendelet személyes adat fogalmából eredően – nem az irat tárgya, hivatalos vagy magáncélú jellege, hanem annak tényleges tartalma határozza meg, az érintett neve, címe, azonosítására alkalmas adata, és az eljárás során megadott egyéb adatai bármely iratban, így a levelezésben is előfordulhatnak. Erre is tekintettel a nem magáncélú, hanem a kifejezetten munkavégzési célú levelek is tartalmaznak személyes adatot, illetőleg mivel sem a rendszert működtető adatkezelő, sem a rendszert használó munkavállaló által nem határolható el kétséget kizáróan minden esetben a levél tartalmának jellege a levelezés tartalmának vizsgálata nélkül, így nem zárható ki, hogy a rendszer nem csak munkavégzési célból szükséges és elengedhetetlen körben kezeljen személyes adatokat (NAIH/2019/769.).
A 29. cikk szerinti adatvédelmi munkacsoport azon álláspontnak adott hangot, amely szerint a magáncélú kommunikáció teljes tilalma nem praktikus, és a tilalom érvényesítése aránytalan mértékű megfigyelést tehet szükségessé. Sokkal nagyobb súlyt kell helyezni a megelőzésre, mint a felderítésre: a munkáltató érdekét jobban szolgálja az internet nem megfelelő használatának műszaki eszközökkel történő megelőzése, mint az, ha erőforrásait a visszaélés felderítésére kell fordítania (a 29. cikk szerinti adatvédelmi munkacsoport 2/2017. számú véleménye).

A munkavállalók tájékoztatása a céges e-mail fiók használatának, ellenőrzésének szabályairól

A munkahelyi e-mail fiók használatának ellenőrzésével kapcsolatban az Emberi Jogok Európai Bírósága a Barbulescu contra Románia ügyben 2016. január 12. napján hozott ítéletében megállapította, nem jogsértő, ha a munkáltató megfigyeli egy alkalmazott munkahelyi levelezését (felhívja erre a figyelmet lásd a NAIH 2016. október 28-i tájékoztatója).
A NAIH jó gyakorlatnak minősíti, ha a munkáltató bizonyos időközönként emlékezteti a munkavállalókat arra, hogy milyen előírások vonatkoznak a céges e-mail fiók használatára (pl. félévente a levelezőrendszerben megjelenik egy olyan tájékoztatás, hogy a munkavállaló az e-mail fiók használata során magáncélból ne küldjön levelet). Ezzel ugyanis biztosítható az, hogy a munkavállalók kiemelt figyelmet fordítsanak arra, hogy a „céges e-mail fiókot” a munkáltató rendelkezései szerint használják (a NAIH 2016. október 28-i tájékoztatója).

Belső szabályzat a céges e-mail fiók használatának, ellenőrzésének szabályairól

A NAIH javasolja a munkáltatók számára egy belső szabályzat megalkotását a céges e-mail fiók használatának, ellenőrzésének szabályairól, amellyel meg lehet előzni azt, hogy a munkavállalók (és adott esetben más, a magánjellegű levelezésben szereplő érintettek) személyes adatait is kezelje a munkáltató.
A belső szabályzatban többek között az alábbiakra szükséges kitérni:

• használható-e magáncélokra a céges e-mail fiók,
• a céges e-mail fiókról történő biztonsági másolat készítésének és megőrzésének a szabályai,
• a céges e-mail végleges törlésének szabályai,
• a céges e-mail fiók használata ellenőrzésének szabályai (a NAIH 2016. október 28-i tájékoztatója, illetve pl. NAIH/2019/769.).

Aggályos, ha a munkáltató nem rendelkezik semmilyen belső szabályzattal az általa a munkavállalók rendelkezésére bocsátott e-mail fiókok (számítástechnikai eszközök) használatára és ellenőrzésére, az ezen eszközökön tárolt adatok kezelésére vonatkozóan.

Az adatkezelés munkáltató általi szabályozása, az adatkezelési műveletek rögzítése mint megfelelő technikai, szervezési intézkedés azért szükséges, mert az adatkezelések tervezésétől azok folytatásán át a célok megvalósulásáig tett valamennyi lényegi lépés – így többek között az adatkezelés időtartamának, a személyes adatok kezelésére vonatkozó törlési, illetve felülvizsgálati határidők megállapításának – adminisztrálását, dokumentálását is magában foglalja, és egyben az adatvédelmi követelményeknek való megfelelés igazolására való képességet feltételezi. Ezen elv a gyakorlatban – többek között – az adatkezelők számára az általános adatvédelmi rendeletben előírtaknak megfelelő szabályzatok, eljárásrendek szakszerű rögzítését irányozza elő. A megfelelő technikai, szervezési intézkedések magukban foglalják a beépített és alapértelmezett adatvédelem teljesülését is, vagyis azt, hogy az elvek és az adatvédelmi követelmények érvényesülését garanciák beépítésével segíti elő az adatkezelő (NAIH/2019/769.).

A nem rendszeres, azonnali, ad hoc ellenőrzések szabályozása

A NAIH szerint a nem rendszeres, hanem azonnali, ad hoc ellenőrzéseknél nem várható el, hogy a konkrét egyedi esetre is előzetes részletes belső szabályozás készüljön, ugyanakkor az mindenképpen elvárható, hogy az ilyen ad hoc ellenőrzések lehetőségével számolva előzetesen dokumentálásra, szabályozásra kerüljön, hogy az ilyen ellenőrzéseket miként kell lefolytatni, az adott ellenőrzés során kinek, milyen hozzáférése lehet az ellenőrzéssel érintett munkavállaló e-mail fiókjaihoz (számítástechnikai eszközeihez) annak érdekében, hogy a munkavállalók világos, egyértelmű, a jelenlétükre is kiterjedő információkkal rendelkezzenek (NAIH/2019/769.).

 A céges e-mail fiók munkáltató általi ellenőrzésének jogalapja

A céges e-mail fiók ellenőrzése esetében a munkáltatói jogos érdek lesz az adatkezelés jogalapja, állapította meg a NAIH, ezért a munkáltatónak az adatkezelés megkezdése előtt el kell végeznie az érdekmérlegelés tesztjét. Ezen ellenőrzés esetében kiemelt figyelmet kell fordítani a célhoz kötött adatkezelés elvén és a szükségesség-arányosság követelményén túl az érintettek magánszférájára is, hiszen adott esetben különféle, a munkaviszonyhoz nem kapcsolódó személyes adat is a munkáltató tudomására juthat, illetve vele munkaviszonyban nem álló személyek (az e-mailek küldői vagy címzettjei) adatait is megismerheti.

A NAIH szerint a munkáltatónak már előzetesen, a céges e-mail fiókok használatának, ellenőrzésének szabályairól szóló belső szabályzat megalkotása során meg kell határoznia azt, hogy milyen céljai, érdekei miatt kerülhet sor az e-mail fiók ellenőrzésére.

Ezen érdekeknek ténylegesnek és valósnak, a munkáltató tevékenységéhez, piaci helyzetéhez és a munkavállalók munkaköréhez igazodóaknak kell lenniük (a NAIH 2016. október 28-i tájékoztatója).