A hatékonyabb és átláthatóbb munkavégzés érdekében a munkáltatók rendszerint céges e-mail fiókot biztosítanak a munkavállalóik számára. A munkavállaló munkavégzésének ellenőrzése során a munkáltatók gyakran átnézik a munkavállalók levelezéseit is. Az ilyen fajta ellenőrzések során a munkáltató szakszerűen, a jogszabályi követelmények betartásával kell, hogy eljárjon. Jelen téma relevanciáját mi sem igazolja jobban, mint az a tény, hogy a közelmúltban számos céges email fiókkal kapcsolatos adatvédelmi incidens történt.

1. Jogszabályi rendelkezések

A céges e-mail fiókok munkáltató általi ellenőrzésére Az Európai Parlament és a Tanács (EU) 2016/679 rendelete (továbbiakban GDPR.) 6. cikk (1) bekezdés f) pontja teremt jogalapot. A GDPR. ezen rendelkezése szerint a személyes adatok kezelése kizárólag akkor és annyiban jogszerű, amennyiben az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek.

Fontos rendelkezéseket tartalmaz a Munka Törvénykönyvéről szóló 2012. évi I. törvény (továbbiakban: Mt.) 11./A. § is, amelynek értelmében a munkavállaló a munkaviszonnyal összefüggő magatartása körében ellenőrizhető és ennek keretében akár technikai eszközt is alkalmazhat a munkáltató, amennyiben előzetesen, írásban tájékoztatta erről a munkavállalót. A munkáltató a munkaviszony teljesítéséhez használt számítástechnikai eszközön tárolt, munkaviszonnyal összefüggő adatokba tekinthet be, tehát csak a munkaviszony körében ellenőrízheti a munkáltató. Fontos hangsúlyozni ugyanakkor, hogy a munkavállaló főszabály szerint a céges email fiókját a munkaviszony teljesítése érdekében használhatja. Magánüzeneteket, és egyéb munkaviszonnyal össze nem függő levelezéseket ezen keresztül nem folytathat, kivéve akkor, ha erről megállapodtak a munkáltatóval.

2. Hatósági gyakorlat

A fent hivatkozott jogszabályi rendelkezések mellett érdemes megvizsgálni az idevonatkozó joggyakorlatot is. A Nemzeti Adat-és Információszabadság Hatóság (továbbiakban: NAIH) több esetben is foglalkozott a céges e-mail fiókok ellenőrzésének jogszerűségéről. A NAIH határozatainak időpontját alapul véve – a későbbitől a korábbi felé haladva – az alábbi ügyek bírnak relevanciával jelen téma kapcsán.

2.1. Első ügy

Az első ügyben a kérelmező munkavállaló azt kifogásolta, hogy betegség miatti keresőképtelenségének időtartama alatt távollétében nemcsak az íróasztalát, de a számítástechnikai hozzáféréseit, eszközeit, beleértve az e-mail-fiókját is ellenőrizték. Az ellenőrzés során kiderült, hogy a munkavállaló – a kifejezett munkáltatói tiltás ellenére – magáncélra is használta a céges e-mail fiókját.

A NAIH határozatában kifejtette, hogy abban az esetben, amikor a munkavállaló használja az e-mail-fiókot, számítástechnikai eszközöket – függetlenül attól, hogy a munkáltató egyébként megtiltja vagy engedélyezi a magáncélú használatot – a munkáltató által biztosított eszközökben, rendszerekben tárolt személyes adatok tekintetében maga is adatkezelési tevékenységet végez. A munkavállaló saját személyes adatai vonatkozásában addig, ameddig az adatkezelés a munka végzésével összefüggésben történik, az adatkezelés jogalapja mindenekelőtt a munkaszerződés teljesítése (GDPR 6. cikk (1) bekezdés b) pontja). Abban az esetben ugyanakkor, amikor a munkavállaló a munkáltató által biztosított eszközökön és rendszerekben a munka végzésével össze nem függő tevékenységet is folytat és ennek kapcsán a saját és harmadik személyek személyes adatait kezeli, már nem ilyen egyértelmű a helyzet. Ebben az esetben ugyanis az adatkezelés célját nem a munkáltató határozza meg, hanem a munkavállaló, aki ezáltal adott esetben maga is adatkezelővé válik a harmadik személyek személyes adatai tekintetében a munkavégzésével semmilyen módon össze nem függő adatkezelés vonatkozásában. Ő dönt a személyes adatnak a rendszerbe, eszközre kerüléséről, és amíg a birtokában, rendelkezése alatt van az eszköz, addig dönthet annak törléséről, egyéb felhasználásáról. Ugyanakkor ezen személyes adatok tekintetében is – különösen a „céges e-mail-fiók” esetében – a rendszer működtetése továbbra is a munkáltató feladata és hatásköre, és a személyes adatokat tároló eszköz feletti rendelkezési jogát sem veszíti el a munkáltató, aki a magáncélú adatok tekintetében ezért adatkezelő marad, az elsődleges felelősség is őt terheli. A magánjellegű levelekkel kapcsolatban szükséges kiemelni, hogy az ilyen e-mailek tartalmát a munkáltató főszabály szerint nem jogosult megismerni, arra csak rendkívül nyomós okból, kivételes esetben kerülhet sor.

2.2. Második ügy

A második ügyben a munkáltató egy kórházigazgató archivált dokumentumokat tartalmazó e-mail fiókját állította vissza. Az érintett azt a tájékoztatást kapta, hogy valamennyi levelét törtölték. A kérelmező panaszában azt sérelmezte, hogy nem kapott előzetes tájékoztatást arról, hogy az e-mail fiókját újra aktiválni fogják, így nem volt lehetősége átmásolni és törölni magánjellegű levelezését, amelyek küldésére és fogadására egyébként jogosult volt. A kérelmező a magánlevelezéseit is ezen a fiókon folytatta, ami engedélyezve is volt számára. A fiók tartalmazta többek között: bankszámlaszámot, pin kódot, egészségügyi adatokat. Külön szabályozás az e-mail archiváló rendszer működéséről a kérelmezettnél nem készült a szűk érintetti kör miatt. A kérelmezett a postafiókok archiválásának jogalapjaként a kérelmezővel kötött munkaszerződést és az annak alapján biztosított, munkavégzéshez szükséges feltételt jelölte meg.

A NAIH a határozatában kifejtette, hogy a munkáltató a GDPR 6. cikk (1) bekezdés a)-f) pontjában meghatározott jogalapok valamelyikére alapozhatja adatkezelésének jogszerűségét, ezen jogszerűségi feltételek teljesülésének hiányában – pusztán valamely nemzeti jogi rendelkezés – az adatkezelés jogszerűségének alátámasztására nem elégséges, még akkor sem, ha maga az általános adatvédelmi rendelet egyes adatvédelmi jogalapok vonatkozásában kifejezetten megköveteli a nemzeti jogalkotói intézkedést. A hatóság álláspontja szerint a munkaszerződésre mint jogalapra azért nem lehet hivatkozni, mivel a GDPR 6. cikk (1) bekezdés b) pontja szerinti, úgynevezett szerződéses jogalap akkor alkalmazható, ha az adatkezelés a szerződés teljesítéséhez szükséges. A jogalap nem alkalmazható olyan helyzetekre, ahol az adatkezelés valójában nem a szerződés teljesítéséhez szükséges, hanem azt az adatkezelő egyoldalúan az érintettre erőlteti.

2.3. Harmadik ügy

A harmadik esetben egy korábbi munkavállaló archív és magánjellegű leveleket is tartalmazó e-mailjeihez történő hozzáférés megtagadása miatt indult az eljárás. A Kérelmező kérelmet terjesztett elő, melyben a Kérelmezettől a 2018. évi leveleit kívánta megkapni CD lemezen, annak érdekében, hogy a munkaviszonyával összefüggésben végzett, kutatással kapcsolatos tudományos publikációkra, közleményekre vonatkozó e-mailjeit megszerezhesse. Ezen felül a Kérelmezőnek szüksége lett volna, részben magánjellegű leveleire, amelyek tartalmazták bizonyos, konferenciákra jelentkezéseinek azonosítóit, jelszavát, folyóiratokhoz beküldött jelszavát, beküldési idejét, a folyóirat nevét, valamint különböző cégeknél az egyetemi képzésben használatos segédanyagok pályázásával kapcsolatos személyeket, információkat. A Kérelmezett nem fogadta el a Kérelmező által előadott, az elektronikus leveleihez való hozzáférésének indokait, mivel álláspontja szerint neki, mint egyetemnek kell gondoskodnia arról, hogy a volt közalkalmazottjának feladatait ki és milyen módon veszi át, így a Kérelmezett oldalán nem áll fenn olyan érdek, amely azt indokolná, hogy a levelező fiókhoz újból hozzáférhessen a Kérelmező, mint volt közalkalmazott. Tekintettel arra, hogy a Kérelmező közalkalmazotti jogviszonya megszűnt, így a Kérelmezett nyilatkozata szerint nem jelölhetné meg a Kérelmezettet tudományos közleményeiben, így a Kérelmezett oldalán nem áll fenn olyan érdek, amelyre a Kérelmező hivatkozott.

Bár a korábbi munkaviszonnyal kapcsolatban keletkezett, a munkavégzéshez szükséges levelezéshez történő hozzáférés megtagadása jogszerű lehetett, de a magáncélú levelekhez történő hozzáférés megtagadása sértette az érintett hozzáférési jogát. Továbbá a munkáltató a hozzáférési jog iránti kérelem elutasítása során nem adott megfelelő tájékoztatást az érintett részére, így akadályozta az érintetti jog gyakorlását. A NAIH 200.000 forintos bírságot szabott ki a munkáltatóra.

A GDPR. 15. cikk (1) bekezdése szerinti hozzáférési jog alapján az érintett jogosult arra, hogy az adatkezelőtől visszajelzést kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e, és ha ilyen adatkezelés folyamatban van, jogosult arra, hogy a személyes adataihoz és az adatkezelésre vonatkozó információkhoz hozzáférést kapjon. Az adatkezelésre vonatkozó információk megadásának módjával kapcsolatban az adatkezelői kötelezettségeket az általános adatvédelmi rendelet 12. cikke részletezi. Ez alapján a személyes adatokról a tájékoztatást tömör, átlátható, érthető és könnyen hozzáférhető formában, világosan és közérthetően megfogalmazva kell megadni.

Jelen ügyben a Kérelmezett tehát azért tagadta meg a Kérelmezőnek azt, hogy hozzáférjen 2018. évi archivált elektronikus leveleihez, hogy jogviszonya megszűnését követően már nem jogosult eljárni, munkát végezni. A Hatóság megállapította, hogy a Kérelmezett ezen okra hivatkozva jogszerűtlenül nem teljesítette a Kérelmező hozzáférési jogára irányuló kérelmét, megsértve ezzel az általános adatvédelmi rendelet 15. cikkét.

3. Észrevételek

A fenti ügyek kapcsán számos olyan megállapítás tehető, ami hasznos információként szolgálhat a munkáltatók számára.

Előszőr is érdemes vagy a munkaszerződésben, vagy egy belső szabályzatban rendelkezni arról, hogy a munkavállalók használhatják-e a céges email fiókjukat magánjellegű célokra. A munkavállalókat tájékoztatni kell az ellenőrzések lehetőségéről, azok menetéről és azon személyi körről, akik jogosultak elvégezni az ellenőrzést. A tájékoztatásnak tartalmaznia kell a munkavállalók informatikai eszközei ellenőrzésének céljait és a megfelelő jogalapot azok munkaviszony megszűnését követő kezeléséhez. A tájékoztatásnak ki kell terjednie az e-mail fiókok biztonsági másolat készítésének és megőrzésének, inaktiválásuknak a szabályozására, valamint a végleges törlések időpontjainak meghatározására. Biztosítani kell, hogy a munkavállalók hozzáférjenek magánjellegű levelezésükhöz, adott esetben még mielőtt a kérdéses e-maileket a munkáltató törli, illetve ők maguk kérhessék a munkáltatót azok törlésére.  A korábbi munkavállaló hozzáférési joga általában nem terjed ki arra, hogy nem magánjellegű, azaz céges e-mailjeihez hozzáférhessen, mivel azok üzleti titkot is tartalmazhatnak. A hozzáférési jog gyakorlásának célja is ennél fogva elsősorban a magáncélú levelezéshez hozzáférésre terjedhet ki, az e-mailek pl. munkajogi perben, a munkáltató ellen történő felhasználása nem felel meg ennek a célnak.

A munkáltatónak, mint adatkezelőnek tájékoztatnia kell a munkavállalót a tervezett adatkezelési műveletekről és lehetőséget kell biztosítania számára, hogy az adatok kezelését (törlését) kontrollálhassa, és – ha a kérdéses adatok törlése esetén azok a munkavállaló számára a továbbiakban már nem lennének elérhetők – a munkáltató által nem kezelhető adatokat a maga számára saját eszközre mentse. Egy olyan eljárás és mechanizmus kialakítása és megvalósítása szükséges tehát, ahol lehetőség szerint mindkét fél kontrollálja az adatok „szétválogatásának” folyamatát, és ennek során a Munkáltató által jogszerűen nem kezelhető adatokat (munkavállalóra vonatkozó személyes, vagy magáninformációk) csak az adat e minőségének megállapításához, a folyamat ellenőrzéséhez legszükségesebb körre korlátozódjon.

További fontos követelmény, hogy az adatkezelést a fokozatosság elvére figyelemmel lépcsőzetes ellenőrzési rendszer szerint szükséges megvalósítani, és az érdekek mérlegelését is ilyen módon kel elvégezni. Az ellenőrzés első lépéseként az e-mail cím és a levél tárgyának az ellenőrzése is elegendő lehet, hiszen bizonyos esetekben már pusztán az e-mail cím felépítéséből és az e-mail tárgyából is lehet látni azt, hogy az magáncélú e-mail cím lesz, és ezért nem szükséges megismerni az e-mail tartalmát. Különösen fontos ez abban az esetben, ha a munkáltató a belső szabályzatban engedélyezi, hogy a munkavállalók a „céges e-mail-fiókot” személyes célból is használják, hiszen ekkor a munkavállalók a szabályzattal összhangban magánjellegű leveleket küldhetnek mások számára, vagy fogadhatnak másoktól. Emellett, ha például a munkáltató nem engedélyezi az e-mail-fiók magáncélú használatát, és az ellenőrzés pusztán arra terjed ki, hogy megállapítsa azt, hogy a munkavállalók betartották-e ezt a munkáltatói rendelkezést, akkor szintén elegendő az email címének és tárgyának megtekintése, és nem szükséges a levél tartalmának megismerése, hiszen munkajogi jogkövetkezményeket már ezen tény megállapítása alapján is alkalmazhat a munkavállalókkal szemben.

Noha a nem rendszeres, hanem azonnali, ad hoc ellenőrzéseknél nem várható el, hogy a konkrét egyedi esetre is előzetes részletes belső szabályozás készüljön, az mindenképpen elvárható, hogy előzetesen szabályozásra kerüljön, hogy az ilyen ellenőrzéseket miként kell lefolytatni, az adott ellenőrzés során kinek, milyen hozzáférése lehet az ellenőrzéssel érintett munkavállaló számítástechnikai eszközeihez, e-mail-fiókjaihoz annak érdekében, hogy a munkavállalók világos, egyértelmű, a jelenlétükre is kiterjedő információkkal rendelkezzenek.

2020.08.26.

Dr. Miklós Péter, adatvédelmi tisztviselő Dr. Nagy Bonifác, jogász Dobos és Kőhidi Ügyvédi Társulás office@doboskohidi.eu