A GDPR gyakorlati kihívásai közül egy: a felhasználók elektronikus levelezés.
A GDPR napi gyakorlati alkalmazásában az egyik „izgalmas” kihívás az a helyzet, amikor a felhasználó számítógépe, a használt levelező rendszer és az adott postafiók címe is céges tulajdon, de ezeken magánjellegű levelezés is zajlik.
Két komolyabb adatkezelési gond van ezzel:
- A magánszemély a rendelet szerint általában és alapvetően a magáncélú adatkezelés keretében nem esik a rendelet hatálya alá, de a cég, aki működteti a rendszert ettől még adatkezelője lesz olyan személyes adatoknak, amikhez számára nincs meg az adatkezelés jogalapja. Ugyanakkor a magánszféra védelme miatt a cég nem olvashatja el, nem nézhet bele a munkavállaló magánlevelezésébe.
- Ha a munkavállaló (felhasználó!) munkaviszonya/jogviszonya megszűnik, akkor a postafiókjában található magáncélú levelezésből elég sok gond származhat.
Egy kis összefoglaló erről:
Elsősorban egy hatósági határozatból (NAIH/2019/51/11 határozat): „Volt munkavállaló e-mail-fiókjai archivált tartalmának tárolása és azokban történő dokumentumkeresés”
- „Abban az esetben ugyanakkor, amikor a munkavállaló a munkáltató által biztosított e-mail-fiókban a munka végzésével össze nem függő – magáncélú – tevékenységet is folytat és ennek kapcsán a saját és a legtöbb esetben más harmadik személyek személyes adatait kezeli, már nem ilyen egyértelmű a helyzet. Ebben az esetben ugyanis az adatkezelés célját nem a munkáltató határozza meg, hanem a munkavállaló, aki ezáltal adott esetben maga is adatkezelővé válik a harmadik személyek személyes adatai tekintetében a munkavégzésével semmilyen módon össze nem függő adatkezelés vonatkozásában. Ő dönt a személyes adatnak az e-mail-fiókba kerüléséről, és amíg a birtokában, rendelkezése alatt van a fiók, addig dönthet annak törléséről, egyéb felhasználásáról.
- Ugyanakkor ezen személyes adatok tekintetében is a rendszer működtetése továbbra is a munkáltató feladata és hatásköre, és a személyes adatokat tároló e-mail-fiók feletti rendelkezési jogát sem veszíti el a munkáltató, aki a magáncélú adatok tekintetében ezért adatkezelő marad.
- Ugyanígy adott esetben a munkavégzéssel összefüggő elektronikus levelek biztonsága érdekében az is munkáltatói döntés eredménye és a munkáltató adatkezelői minőségét támasztja alá, hogy a munkavállalói e-mail-fiók teljes tartalmát – beleértve a magáncélú leveleket is – egységes adatbázisként archiválja és tárolja a munkáltató.”
- „Megjegyzendő még, hogy amíg a munkavállaló tekintetében az is előfordulhat, hogy az ilyen, az email-fiókban valójában kizárólag az ő magánérdekéből, azaz magáncélból tárolt adatok kezelése –mint kizárólag személyes vagy otthoni tevékenység keretében végzett adatkezelés – kívül esik az általános adatvédelmi rendelet alkalmazási körén, a munkáltató esetén ez nem fordulhat elő. Az ilyen esetekben tehát egy igen sajátos együttes adatkezelési helyzet áll elő, amely esetben a munkáltató mindenképpen adatkezelőnek minősül, a munkavállaló pedig – jogi értelemben legalábbis – nem feltétlenül.”
- „Végezetül alapvető fontosságú, hogy az a tény, hogy a munkavállaló magáncélú személyes adatai vonatkozásában a munkáltató adatkezelőnek minősül, nem jelenti egyúttal azt is, hogy az ilyen célból kezelt személyes adatok kezelése a részéről minden esetben jogszerű, hiszen ha a munkáltató oldalán nem azonosítható ezen adatok kezelésének semmilyen jogszerű célja, illetve a 6. cikk (1) bekezdése szerinti jogalapja, akkor az ilyen adatok tároláson kívüli kezelése nem lesz jogszerű, a munkáltató részéről az ilyen személyes adatok nem használhatóak. A jogalap nélküli adatkezelésnek elsődlegesen az az általános jogszerű következménye, hogy a munkáltató – amint értesül ezen adatok kezelésének tényéről – megszünteti az ilyen adatok kezelését, azaz törli ezeket az e-mail-fiókból. A jelen ügyhöz hasonló helyzetben ugyanakkor az adatok törlése mint adatkezelési művelet – különösen ha a munkavállaló ténylegesen közös adatkezelőnek lenne tekinthető az adott esetben – csak a munkavállaló érdekeinek figyelembe vételével, és mindenekelőtt az adatkezelés tisztességességére vonatkozó követelménynek a betartásával valósítható meg jogszerűen.”
- „A munkáltatónak mint adatkezelőnek e vonatkozásban mindenekelőtt tájékoztatnia kell a munkavállalót a tervezett adatkezelési műveletről és lehetőséget kell biztosítania számára, hogy az adatok kezelését (törlését) kontrollálhassa, és – ha a kérdéses adatok törlése esetén azok a munkavállaló számára a továbbiakban már nem lennének elérhetők – a munkáltató által nem kezelhető adatokat a maga számára saját eszközre mentse. Értelemszerűen a munkáltató jogszerű adatkezelése alá eső adatok vonatkozásában – éppen a munkáltatót mint adatkezelőt terhelő kötelezettségek, így különösen az adatbiztonsági követelmények miatt – az ilyen adatmentést pedig a munkáltatónak joga és kötelezettsége felügyelni annak érdekében, hogy az valóban csak a magáncélból kezelt adatokra korlátozódjon. Egy olyan eljárás és mechanizmus kialakítása és megvalósítása szükséges tehát, ahol lehetőség szerint mindkét fél kontrollálja az adatok „szétválogatásának” folyamatát, és ennek során az általa jogszerűen nem kezelhető adatok csak az adat e minőségének megállapításához, a folyamat ellenőrzéséhez legszükségesebb körére korlátozódjon.”
- „A munkaviszony megszűnése után, … a munkafolyamatok folytonosságának biztosítása érdekében”— archiválhatók, kezelhetők az elektronikus levelek. A kifejezetten magánjellegű levelezéseket azonban tekintettel arra is, hogy azok kezelése a munkáltató oldaláról nem lehet szükséges semmilyen szempontból, főszabály szerint nem lehet archiválni. A Hatóság abban az esetben fogadná el ezen levelezések puszta tárolását – minden más adatkezelési műveletet kizárva – biztonsági mentési célból, ha a munkavégzési célú és a magáncélú levelek egységes adatbázisként történő mentése következtében a magáncélú levelek leválogatása aránytalanul nagy, észszerűtlen erőfeszítést igényelne a munkáltató részéről. Ennek indokoltságát, szükségességét azonban a munkáltatónak kell bizonyítania. A munkáltatónak továbbá a rendszer működéséről megfelelően tájékoztatnia kell a munkavállalókat, megjelölve számukra azt – többek között –, hogy milyen időközönként kerül sor biztonsági mentésre a rendszerben, biztosítva ezzel például számukra azt, hogy a mentés előtt ténylegesen törölni tudják magánlevelezéseiket.”
- „A Hatóság elfogadhatónak tartja továbbá, ha a megszűnő foglalkoztatási jogviszonyok esetén a munkáltató az érintett munkavállaló számára lehetőséget biztosít arra, hogy törölje magáncélú levelezéseit az általa használt e-mail-fiókokból. A Hatóság álláspontja szerint ez a törlés megvalósítható az érintett munkavállaló utolsó munkanapján a munkáltatói jogkör gyakorlója, a munkavállaló szervezeti egységének vezetője, vagy a szervezetben döntésre jogosult más munkavállaló jelenlétében, elkerülve azt, hogy adott esetben olyan dokumentumok is törlésre kerüljenek, amelyek nem a munkavállaló magáncélú adatai. A jogszerűség érdekében a Hatóság javasolja ezen törlési folyamatról jegyzőkönyv vezetését. Minderről a Hatóság álláspontja szerint a munkáltatónak belső szabályzatot kell alkotnia annak érdekében, hogy az elszámoltathatóság elve alapján igazolni tudja, hogy minden szükséges intézkedést megtett a megszűnt munkaviszonyú érintett személyes adatainak védelme érdekében. Amennyiben a munkáltató mindezen intézkedései ellenére a munkavállaló nem él törléshez való jogával a jogviszony megszűnését követő észszerű határidőn belül, és ezt a munkáltató igazolni tudja, a munkáltatót nem terheli felelősség.”
- „A Hatóság mindezek mellett javasolja azt is, hogy amennyiben magáncélra is használhatók az e-mail-fiókok, azokban különálló mappát hozzanak létre a magáncélú levelezésekre, kizárva azokat a biztonsági mentések alól, és egyúttal lehetővé téve adott esetben a munkaviszony megszűnése után azok érintett számára hozzáférhetővé tételét, illetve tényleges törlését.”
További jogi háttér a CMS-től: Megfelelő jogalap kiválasztása
Az esetleges jogsértés kivizsgálásához és orvoslásához jogos érdekre lehet hivatkozni, de ebben az esetben előzetesen egy érdekmérlegelési tesztet is kötelező készíteni. A jogos érdekre alapozott adatkezelés ugyanis csak akkor lehetséges, ha az érdekmérlegelési teszt eredménye azt mutatja, hogy az adatkezelő érdekei az adatkezelés tekintetében elsőbbséget élveznek a vizsgálat alá vont érintettek érdekeivel, jogaival és szabadságaival szemben. Az érdekmérlegelés során mindig az adott eset konkrét tényei alapján – és nem elvont formában –, az érintettek észszerű elvárásait is figyelembe véve kell eljárni. Ez praktikusan azt jelenti, hogy az érdekmérlegelési teszt eredményességéhez a belső vizsgálat szükségességét alátámasztó alapos gyanú fennállása és a jogsértést valószínűsítőt tények szükségesek.
- Célhoz kötöttség, adattakarékosság, korlátozott tárolhatóság
A belső vizsgálat lefolytatásához a cégnek a tényállás felderítéséhez szükséges minden releváns adatra szüksége van. Ennek megfelelően egy belső vizsgálat tipikusan egy sor személyes adatot is tartalmazó információ és anyaggyűjtéssel kezdődik. Az adattakarékosság és célhoz kötöttség elveiből adódóan azonban csak olyan személyes adat gyűjthető és használható fel, amelyre az eredményes eljárás céljából ténylegesen szükség van. Természetesen előfordulhat, hogy a vizsgálódás kezdetén még nem látható tisztán, hogy mely információk lehetnek relevánsak, ezért, ha az eljárás előrehaladtával ez tisztázódik, a belső vizsgálat céljához már nem szükséges személyes adatok kezelését a korlátozott tárolhatóság elvének megfelelően haladéktalanul meg kell szüntetni.
- Átláthatóság és tájékoztatás
A személyes adatok kezelését az érintettek számára átlátható módon kell végezni. Ennek megfelelően a belső vizsgálat céljából végzett adatkezelésről is tájékoztatni kell az érintetteket. Abban az esetben, ha fennáll a veszélye, hogy az ilyen tájékoztatás meghiúsíthatja a belső vizsgálat sikerességét, a tájékoztatási kötelezettség kapcsán könnyen ellentétbe kerülhet a munkáltatónak az eredményes vizsgálat lefolytatásához fűződő érdeke, és az érintett személyes adatok védelméhez fűződő joga. Amennyiben az adatokat magától az érintettől gyűjtik, a GDPR 13. cikk szerinti tájékoztatást a személyes adatok megszerzésének időpontjában rendelkezésre kell bocsájtani. A NAIH gyakorlata szerint a munkáltatónak előzetes általános tájékoztatást kell adnia az ellenőrzés lehetőségéről, továbbá egyedi tájékoztatást kell nyújtania a konkrét ellenőrzés előtt is.
Ha az adatokat nem az érintettől szerzik meg, a munkáltatónak ésszerű határidőn belül, de legkésőbb 1 hónapon belül kell megadnia a tájékoztatást. Ha ezen határidőt megelőzi az adatok harmadik személy (pl. hatóság) részére történő továbbítása, a tájékoztatást a személyes adatok közlésekor kell megtenni. Fontos különbség a közvetlenül az érintettől történő adatgyűjtéshez képest, hogy a GDPR 14. cikk (5) b) pontja tartalmaz egy kivétel szabályt, amely szerint nem kell az érintettet tájékoztatni az adatkezelésről, ha a tájékoztatási kötelezettség valószínűsíthetően lehetetlenné tenné vagy komolyan veszélyeztetné ezen adatkezelés céljainak elérését. Ilyen esetekben az adatkezelőnek megfelelő intézkedéseket kell hoznia – az információk nyilvánosan elérhetővé tételét is ideértve – az érintett jogainak, szabadságainak és jogos érdekeinek védelme érdekében.
A fentiekből látható, hogy ha az érintettek nem kapnak a vizsgálatot megelőzően egy megfelelő általános tájékoztatást az ezzel kapcsolatos adatkezelés lehetőségéről, úgy könnyen konfliktusba kerülhet az érintetteknek a tájékoztatáshoz való joga és a munkáltatónak a vizsgálat eredményéhez fűződő érdeke, hiszen, ha a munkáltató közvetlenül a vizsgálat előtt tájékoztatja erről az érintetteket, úgy az könnyen meghiúsíthatja a vizsgálatot. Külön nehézséget okozhat az olyan munkavállalók tájékoztatása, akik már nem állnak alkalmazásban a munkáltatóval. Emiatt nagyon fontos, hogy a tájékoztatás időzítése és terjedelme az adott eset körülményeinek figyelembevételével gondosan kerüljön meghatározásra.
- Különleges személyes adatok
Ha a belső vizsgálat során a munkáltató különleges személyes adatot is kezel, a megfelelő jogalapon túl a GDPR 9. cikk (2) bekezdés szerinti valamely feltételt is teljesítenie kell a jogszerű adatkezeléshez. Az eset körülményeitől függően ilyen lehet például, ha az adatkezelés a munkáltatónak a foglalkoztatásra vonatkozó jogszabályokból fakadó jogai gyakorlásához szükséges (GDPR 9. cikk (2) b) pont), vagy ha az adatkezelésre jogi igények előterjesztése, érvényesítése, illetve védelme miatt van szükség (GDPR 9. cikk (2) f) pont).
- A tisztességes adatkezelés követelménye – a személyes jelenlét biztosítása az ellenőrzés során
A NAIH már a 2016-os munkahelyi adatkezelésről szóló tájékoztatójában kiemelte, hogy garanciális jelentőséggel bír a munkavállaló jelenlétének biztosítása az ellenőrzés során. Két 2019-es határozatában (NAIH/2019/51/11 és NAIH/2019/769/) a NAIH az e-mail fiók és a számítástechnikai eszköz ellenőrzése kapcsán megállapítja, hogy a munkahelyi ellenőrzéssel összefüggő adatkezelésnél a tisztességes adatkezelés elvéből az következik, hogy az ellenőrzés során főszabályként biztosítani kell a munkavállaló jelenlétét. Ha a munkavállaló jelenléte nem biztosítható, abban az esetben is egyrészt tájékoztatást kell nyújtani a munkavállaló számára a tervezett munkáltatói intézkedésről, másrészt lehetőséget kell biztosítani számára arra is, hogy ha ő nem is tud jelen lenni, helyette meghatalmazottja vagy képviselője legyen jelen az ellenőrzésnél. Ha az előzetes tájékoztatás ellenére sem az érintett munkavállaló, sem meghatalmazottja nincs jelen, a munkáltatónak mindent meg kell tennie annak érdekében, hogy az ellenőrzés körülményei olyan módon legyenek rögzítve, hogy annak pontos menete, az annak során megismert adatok köre, azaz a ténylegesen elvégzett adatkezelési műveletek, és azok jogszerűsége utólag ellenőrizhető legyen.
- Munkajogi alapelvek
A belső vizsgálatok során figyelemmel kell lenni a Munka Törvénykönyvének azon alapvető rendelkezéseire is, mely szerint
- A munkavállaló személyiségi joga akkor korlátozható, ha a korlátozás a munkaviszony rendeltetésével közvetlenül összefüggő okból feltétlenül szükséges és a cél elérésével arányos. A személyiségi jog korlátozásának módjáról, feltételeiről és várható tartamáról, továbbá szükségességét és arányosságát alátámasztó körülményekről a munkavállalót előzetesen írásban tájékoztatni kell.
- A munkavállaló kizárólag a munkaviszonnyal összefüggő magatartása körében ellenőrizhető. Ennek keretében a munkáltató technikai eszközt is alkalmazhat, erről a munkavállalót előzetesen írásban tájékoztatja.
- A munkáltató ellenőrzése során a munkaviszony teljesítéséhez használt számítástechnikai eszközön tárolt, a munkaviszonnyal összefüggő adatokba tekinthet be.
Első lépésben fontos, hogy valahol, pl. az informatikai biztonsági szabályzatban a megfelelő módon legyen szabályozva ez a kérdés. Pl:
- „A cég levelezőrendszerében minden munkatárs rendelkezik személyes, kizárólag általa kezelhető postafiókkal, amit csak és kizárólag munkavégzésre használhat.” (ez jelentős mértékben segíti a fenti folyamatot!)
- „A levelező rendszer működését az informatikai csoport monitorozza és működteti. A levelező rendszerben tárolt leveleket a cég csak a munkáltató jogos érdeke miatt ellenőrzi és a konkrét ellenőrzés előtt tájékoztatni kell a munkavállalót:
- arról, hogy milyen munkáltatói érdek miatt kerül sor az ellenőrzésre,
- a munkáltató részéről ki végzi az ellenőrzést,
- milyen szabályok szerint kerül sor ellenőrzésre (fokozatosság elvének betartása) és mi az eljárás menete,
- milyen jogai és jogorvoslati lehetőségei vannak a munkavállalóknak az e-mail fiók ellenőrzésével együtt járó adatkezeléssel kapcsolatban.”
- „Az elektronikus levelezés ellenőrzése minden esetben célhoz kötött, aminek a levelek ellenőrzése, megőrzése minden szakaszában meg kell felelni. Ennek megfelelően a cég a levelek ellenőrzése során először csak a feladói címet és levél tárgyát ellenőrzi, és megpróbálja eldönteni a levél céges vagy magán jellegét. Amennyiben a magánlevél gyanúja fennáll, úgy az érintett felhasználóval az informatikai biztonsági vezető egyeztet és személyes részvételét kéri, mivel az ilyen levelek tartalmát a cég nem jogosult megismerni.”
Fontos tisztázni, hogy milyen e-mail címről beszélünk? Nevesített (pista.nagy@ceg.hu), vagy általános (informatika@ceg.hu)?
- Ha nevesített, akkor azt az cégnek meg kell szüntetnie, törölni kell a fiókot a munkaviszony megszüntetésének napjával.
- Ha megszűnt a nevesített postafiók, akkor arról visszapattannak az oda irányuló levelek. Ezekbe egy üzenetet is el lehet helyezni, pl: „Ezentúl az informatika@cég.hu címen érhetik el az illetékest.” Ezzel a feladó eldöntheti, hogy az új címre elküldi-e ismételten a levelet.
A munkáltatónak meg kellene teremtenie a lehetőségét, hogy a munkavállaló törölje a magáncélú leveleket.
- Ezt sajnos „bizottságban” kell elvégezni, hogy csak a valóban személyes anyagokat törölje. Dokumentáltan, jegyzőkönyvezve…
- Ezzel a lehetőséggel a munkavállaló nem feltétlenül él, de ez is lehet egy feltétel a munkaviszony megszüntetéséhez.
- A céges tartalom archiválható, átmásolható egy nem nevesített mappába/fiókba.
Érdemes átgondolni a levelezés gyakorlatát:
- A levelező rendszert ne használjuk tárhelyként. A szükséges, céges anyagokat mentsük ki szerverre, egyéb vonatkozó mappákba.
- A levelező rendszer időre és méretre beállított automatikus archiválással+törléssel rendelkezzen. Azaz pl. az egy évvel régebbi leveleket automatikusan archiváljuk, a postafiókok maximális mérete 2GB lehet.
- érdemes átgondolni a magán postafiókok rendszerét, gyakorlatát. Pl. az ügyfelekkel csak nem nevesített (titkárság@ceg.hu, pénzügy@, megrendeles@, info@, szolgaltatas@, stb.) mailcímekkel levelezzünk.
És akkor itt még nem foglalkoztunk komolyabban minden rendszergazda „kedvencével”, a mentésekkel, biztonsági másolatokkal, különösen a magáncélú leveleket tartalmazó e-mail archívumokkal…
Több helyen is leírjuk, de fontosnak tartjuk itt is megismételni: „A fentiekben található bármely információ, észrevétel, megjegyzés vagy vélemény elsősorban oktatási, informatikai, technikai, esetleg szabályozási jellegű és az üzleti folyamatok javítását célozza. Ugyanakkor ezek semmilyen formában nem minősülnek sem adótanácsadásnak, sem számviteli-, sem jogi tanácsnak vagy véleménynek! Ilyenekre a Nuce 2020 Bt. nem hitelesített és nem is jogosult.”