A munkahelyi elektronikus levelezés adatvédelmi vonatkozásai

Az utóbbi időben a NAIH két határozatában is vizsgált olyan eseteket, amikor a munkavállaló/volt munkavállaló vállalati e-mail címen folytatott elektronikus levelezését a munkáltató valamilyen okból ellenőrizte. A hatóság mindkét esetben bírságot szabott ki az adatkezelőre.

Az első tényállás:

Az egyik esetben a hatóság 500.000 Ft adatvédelmi bírságot szabott ki. A NAIH/2019/51/11. ügyszámú határozatában foglaltak szerint a kérelmező igazgatóként állt az intézmény (kórház) élén. E jogviszonya megszűnését követően, – engedélye nélkül – elektronikus levelezése tudomása szerint törölt, valójában inaktivált fiókjai visszaállítását rendelte el a munkáltató, mert kerestek egy dokumentumot. A kérelmező kifogásolta, hogy ennek során a fiókokban bármelyik dokumentumához hozzáférhettek, bármely személyes adatát megismerhették, tekintettel arra, hogy magánlevelezéseit is azokon bonyolította le, ez engedélyezett is volt számára. Így a fiókok tartalmaztak például magáncélú levelezéseket, banki adatokat, fizetésre vonatkozó adatokat, baráti kapcsolatokra vonatkozó adatokat, a kérelmező pénzügyei intézésére vonatkozó levelezéseket, a bankszámlaszámát, pin-kódjait, egészségi állapotára vonatkozó adatokat, valamint a tőle egészségügyi segítséget kérő személyekre vonatkozó információkat.

Külön szabályozás az e-mail archiváló rendszer működéséről a kérelmezettnél nem készült a szűk érintetti kör miatt. A kérelmezett a postafiókok archiválásának jogalapjaként a kérelmezővel kötött munkaszerződést és az annak alapján biztosított, munkavégzéshez szükséges feltételt jelölte meg.

A NAIH főbb megállapításai:

Amikor a munkavállaló a munkáltató által biztosított e-mail-fiókban magáncélú tevékenységet is folytat és ennek kapcsán a saját és a legtöbb esetben más harmadik személyek személyes adatait kezeli, az adatkezelés célját nem a munkáltató határozza meg, hanem a munkavállaló, aki ezáltal adott esetben maga is adatkezelővé válik a harmadik személyek személyes adatai tekintetében a munkavégzésével semmilyen módon össze nem függő adatkezelés vonatkozásában. Ő dönt a személyes adatnak az e-mail-fiókba kerüléséről, és amíg a birtokában, rendelkezése alatt van a fiók, addig dönthet annak törléséről, egyéb felhasználásáról. Ugyanakkor ezen személyes adatok tekintetében is a rendszer működtetése továbbra is a munkáltató feladata és hatásköre, és a személyes adatokat tároló e-mail-fiók feletti rendelkezési jogát sem veszíti el a munkáltató, aki a magáncélú adatok tekintetében ezért adatkezelő marad. Ugyanígy adott esetben a munkavégzéssel összefüggő elektronikus levelek biztonsága érdekében az is munkáltatói döntés eredménye és a munkáltató adatkezelői minőségét támasztja alá, hogy a munkavállalói e-mail-fiók teljes tartalmát – beleértve a magáncélú leveleket is – egységes adatbázisként archiválja és tárolja a munkáltató.

Amíg a munkavállaló tekintetében az is előfordulhat, hogy az e-mail-fiókban valójában kizárólag az ő magánérdekéből, azaz magáncélból tárolt adatok kezelése – mint kizárólag személyes vagy otthoni tevékenység keretében végzett adatkezelés – kívül esik a GDPR alkalmazási körén, a munkáltató esetén ez nem fordulhat elő. Az ilyen esetekben tehát egy igen sajátos együttes adatkezelési helyzet áll elő, amely esetben a munkáltató mindenképpen adatkezelőnek minősül, a munkavállaló pedig – jogi értelemben legalábbis – nem feltétlenül.

Fontos továbbá, hogy a munkáltató és a munkavállaló közötti jogviszonyból adódóan a munkáltatóé az adatkezelés jogszerűségéért való elsődleges felelősség, hiszen az ő számára állnak elsődlegesen rendelkezésre azok az eszközök (belső szabályozási és technikai operatív intézkedések), amelyekkel a jogszerűség biztosítható.

A NAIH kimondja, hogy a munkáltató a GDPR 6. cikk (1) bekezdés a)-f) pontjában meghatározott jogalapok valamelyikére alapozhatja adatkezelésének jogszerűségét, ezen jogszerűségi feltételek teljesülésének hiányában – pusztán valamely nemzeti jogi rendelkezés – az adatkezelés jogszerűségének alátámasztására nem elégséges, még akkor sem, ha maga az általános adatvédelmi rendelet egyes adatvédelmi jogalapok vonatkozásában kifejezetten megköveteli a nemzeti jogalkotói intézkedést.

A hatóság álláspontja szerint a munkaszerződésre mint jogalapra azért nem lehet hivatkozni, mivel a GDPR 6. cikk (1) bekezdés b) pontja szerinti, úgynevezett szerződéses jogalap akkor alkalmazható, ha az adatkezelés a szerződés teljesítéséhez szükséges. A jogalap nem alkalmazható olyan helyzetekre, ahol az adatkezelés valójában nem a szerződés teljesítéséhez szükséges, hanem azt az adatkezelő egyoldalúan az érintettre erőlteti.

A kötelezett által hivatkozott adatbiztonság növelése céljából a munkaviszony fennállta alatt mind a munkavégzési, mind a magáncélú levelezések esetében a GDPR 6. cikk (1) bekezdés e) pontja szerinti jogalap teszi lehetővé biztonsági mentéseket a jelen ügyben, mely jogalap szerint a személyes adatok kezelése jogszerű lehet akkor is, ha az adatkezelés közérdekű – vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett – feladat végrehajtásához szükséges. (Megjegyzés: Amennyiben nem közérdekű feladatot ellátó szervezetről van szó, akkor az f) pont alkalmazandó.)

A munkaviszony megszűnése után szintén ezen célból és jogalap alapján archiválhatók, kezelhetők az elektronikus levelek. A kifejezetten magánjellegű levelezéseket azonban, tekintettel arra is, hogy azok kezelése a munkáltató oldaláról nem lehet szükséges, semmilyen szempontból, főszabály szerint nem lehet archiválni. A munkáltatónak továbbá a rendszer működéséről megfelelően tájékoztatnia kell a munkavállalókat, megjelölve számukra azt – többek között –, hogy milyen időközönként kerül sor biztonsági mentésre a rendszerben, biztosítva ezzel például számukra azt, hogy a mentés előtt ténylegesen törölni tudják magánlevelezéseiket.

Ugyanakkor ez a tárolás nem jelent korlátlan ideig történő adatmegőrzést. A kérelmező magánlevelezései konkrét határidő nélküli megőrzésével a kötelezett megsértette a korlátozott tárolhatóság elvét.

Hatóság álláspontja szerint a kötelezettnek egy belső szabályzatot célszerű megalkotnia a munkavállalók rendelkezésére bocsátott e-mail-fiókok használatának szabályairól. A belső szabályzatban többek között az alábbiakra szükséges kitérni:

– használhatók-e magáncélra ezek az e-mail-fiókok,

– ezen e-mail-fiókokról biztonsági másolat készítésének és megőrzésének, inaktiválásuk szabályozására, illetve arra, hogy mikor kerül sor az e-mailek végleges törlésére,

– az e-mail-fiókok használata ellenőrzésének, áttekintésének részletes szabályaira, azt ki és milyen módon hajthatja végre a szervezeten belül, milyen jogai vannak az érintett munkavállalónak az eljárás során.

A NAIH mindezek mellett javasolja azt is, hogy amennyiben magáncélra is használhatók az e-mail-fiókok, azokban különálló mappát hozzanak létre a magáncélú levelezésekre, kizárva azokat a biztonsági mentések alól, és egyúttal lehetővé téve adott esetben a munkaviszony megszűnése után azok érintett számára hozzáférhetővé tételét, illetve tényleges törlését.

A kérelmező magánlevelezéseiben történő keresésre – mivel azok nem kapcsolódnak a foglalkoztatási jogviszonyhoz – a kötelezett nem jogosult jogszerű adatkezelési cél és megfelelő jogalap hiányában. Ebből következően a hatóság megállapítja, hogy a kötelezett a kérelmező kifejezetten magánjellegű leveleit is tartalmazó e-mail-fiókjaiban történő kereséssel megsértette a célhoz kötött adatkezelés elvét és a GDPR 6. cikkét.

Az adatalany mindvégig alanya kell, hogy maradjon a személyes adatok kezelésével járó folyamatnak, és nem válhat annak puszta tárgyává. A munkavállaló (vagy képviselője, meghatalmazottja) jelenléte nélküli e-mail-fiók áttekintés alapvetően ellentétes a tisztességes adatkezelés elvével, mivel a munkavállaló magánszférájába való behatolásnak minősül.

A második tényállás:

A másik esetben a hatóság 1.000.000. Ft adatvédelmi bírságra kötelezte a munkáltatót, miután a NAIH/2019/769/ ügyszámú határozatában foglaltak szerint a kérelmező azt kifogásolta, hogy betegség miatti keresőképtelenségének időtartama alatt távollétében íróasztalát és számítástechnikai hozzáféréseit, eszközeit, valamint e-mail-fiókját ellenőrizték, a dokumentumok fizikai elhelyezkedését megváltoztatták, továbbá mindezen ellenőrzésről fényképeket is készítettek.

A kötelezett nyilatkozata szerint az ellenőrzés során a fokozatosság elvét betartva először az e-mail feladóját és tárgyát vizsgálták, majd a stratégiai szempontból fontosnak ítélt e-maileket nyitották meg és kezdték meg az azonnali intézkedést a károk elkerülése, illetve enyhítése érdekében.

NAIH főbb megállapításai:

A munkáltató adatkezelői minősége még akkor sem kérdőjelezhető meg, ha a munkáltató kifejezetten kizárja az eszközei magáncélú használatát, mivel az adatkezelés mibenléte és az adatkezelői minőség alapvetően ténykérdés (így a vonatkozó rendelkezés csak a felelősség kérdésében vezethet eltérő eredményre). Emellett ebben az esetben az ilyen tilalom betartásának ellenőrzése ténylegesen ugyanolyan adatkezelési műveletekkel jár – különösen, ha nem tartják be a szabályt –, mint, ha ilyen rendelkezést nem is tett volna munkáltató. Abban az esetben pedig, ha a munkavállaló – értelemszerűen elvárhatóan csak akkor, ha a munkáltató a magáncélú használatot is engedi – kifejezetten tájékoztatja a munkáltatót arról, hogy milyen adatok vonatkozásában milyen magáncélú adatkezelést folytat az adott rendszerben/eszközön, a munkáltató adatkezelői minősége csak akkor nem tűnik megkérdőjelezhetőnek, ha biztosítani tudja az ilyen adatkezelések teljes mértékű elkülönülését a saját adatkezelésétől, ideértve azt is, hogy az azzal érintett személyes adatok fölött semmilyen módon nem rendelkezik (például azok tárolásáról, megismeréséről csak a munkavállaló dönthet) Ilyen teljes elkülönítés hiányában a munkáltató minden esetben adatkezelőnek tekintendő a GDPR 4. cikk 7. pontja értelmében.

A magáncélú levelezés, illetve használat belső szabályzatban megvalósuló tiltása ugyanakkor egy objektív követelményt jelent az adatkezelő munkatársaira nézve, azonban a munkatárs részére üzenetet küldő harmadik személyekre nézve – a belső levelezést leszámítva – nem terjed ki a szabályzat hatálya, így bármikor magáncélú, az adott munkavégzéssel, munkáltatói tevékenységgel össze nem függő személyes adatokat tartalmazó levél érkezhet a munkatárs elektronikus levélfiókjába.

A magáncélú használatot tiltó belső szabályok megszegése esetén – a munkatárs e tekintetben megállapítható felróható magatartásától függetlenül – a munkatárs és harmadik személy személyes adatainak kezelése ténylegesen megvalósul, egy objektív helyzet következik be az adatkezelőnél és az általa igénybevett adatfeldolgozónál egyaránt, ezzel az adatkezelési jogviszony létrejön, az abból eredő kötelezettségek az adatkezelőt terhelik.

Abban az esetben – mint ahogyan jelen ügyben is történt –, ha a munkavállalói feladatok el nem végzése dokumentálásra kerül, és az a helyettesítendő munkavállalóra nézve valamilyen számonkéréssel jár, az túlmutat a helyettesítésen és a helyettesítendő munkavállaló munkavégzésének ellenőrzését jelenti. Ennek az ellenőrzésnek is meg kell felelnie az adatvédelmi követelményeknek.

A NAIH megállapította, hogy a jelen ügyben tárgyalt adatkezelésnek nem lehet a jogalapja a munkaszerződés. A munkavállaló munkavégzésének a munkáltató általi ellenőrzésének céljából végzett adatkezelés esetében az adatkezelés jogalapja a GDPR 6. cikk (1) bekezdés f) pontja szerinti jogos érdek lehet.Az adott jogalap tekintetében szükséges mérlegelés és annak dokumentálása (érdekmérlegelési teszt) hiányában az adatkezelő értelemszerűen az adatkezeléssel összefüggésben őt terhelő számos kötelezettségnek sem tud maradéktalanul eleget tenni, ami az érintettek jogaira nézve súlyos sérelemmel járhat, és ennek megfelelően súlyos szankciót vonhat maga után. Az e-mail-fiókok ellenőrzése vonatkozásában a munkáltatónak már az adatkezelést megelőzően pontosan meghatározott adatkezelési céllal kell rendelkeznie az e-mail-fiók ellenőrzésére.

Az adatkezelést a fokozatosság elvére figyelemmel lépcsőzetes ellenőrzési rendszer szerint szükséges megvalósítani, és az érdekek mérlegelését is ilyen módon kel elvégezni. Az ellenőrzés első lépéseként az e-mail cím és a levél tárgyának az ellenőrzése is elegendő lehet, hiszen bizonyos esetekben már pusztán az e-mail cím felépítéséből és az e-mail tárgyából is lehet látni azt, hogy az magáncélú e-mail cím lesz, és ezért nem szükséges megismerni az e-mail tartalmát. Különösen fontos ez abban az esetben, ha a munkáltató a belső szabályzatban engedélyezi, hogy a munkavállalók a „céges e-mail-fiókot” személyes célból is használják, hiszen ekkor a munkavállalók a szabályzattal összhangban magánjellegű leveleket küldhetnek mások számára, vagy fogadhatnak másoktól. Emellett, ha például a munkáltató nem engedélyezi az e-mail-fiók magáncélú használatát, és az ellenőrzés pusztán arra terjed ki, hogy megállapítsa azt, hogy a munkavállalók betartották-e ezt a munkáltatói rendelkezést, akkor szintén elegendő az email címének és tárgyának megtekintése, és nem szükséges a levél tartalmának megismerése, hiszen munkajogi jogkövetkezményeket már ezen tény megállapítása alapján is alkalmazhat a munkavállalókkal szemben.

A magánjellegű levelekkel kapcsolatban szükséges kiemelni azt is, hogy az ilyen e-mailek tartalmát a munkáltató főszabály szerint nem jogosult megismerni, arra csak rendkívül nyomós okból, kivételes esetben kerülhet sor. A kialakult adatvédelmi gyakorlat szerint a munkáltató rendes körülmények között nem jogosult az e-mail-fiókban tárolt magánjellegű e-mailek tartalmát ellenőrizni még akkor sem, ha az ellenőrzés tényéről előzetesen a munkavállalókat tájékoztatta.

Noha a nem rendszeres, hanem azonnali, ad hoc ellenőrzéseknél nem várható el, hogy a konkrét egyedi esetre is előzetes részletes belső szabályozás készüljön, az mindenképpen elvárható, hogy előzetesen szabályozásra kerüljön, hogy az ilyen ellenőrzéseket miként kell lefolytatni, az adott ellenőrzés során kinek, milyen hozzáférése lehet az ellenőrzéssel érintett munkavállaló számítástechnikai eszközeihez,e-mail-fiókjaihoz annak érdekében, hogy a munkavállalók világos, egyértelmű, a jelenlétükre is kiterjedő információkkal rendelkezzenek.

A cikk megírásához a Wolters Kluwer Új online Jogtára nyújtott segítséget.

Adatvédelmi tanácsadás szolgáltatásról és az adatvédelmi auditálásról e szövegre kattintva olvashat.

Ha hasznosnak találta írásomat, iratkozzon fel hírlevelemre, hogy első kézből értesüljön az adatvédelem és a közérdekű adatok nyilvánossága témakörével kapcsolatos információkról.