Munkavállalói e-mailek jogszerű megőrzése a munkaviszonyt követően

Az olasz adatvédelmi hatóság (Garante per la Protezione dei Dati Personali) 80 ezer euró bírságot szabott ki egy társaságra, mert a megbízási jogviszony megszűnését követően jogellenesen kezelte egy megbízottja e-mailjeit. (Az érintett tevékenységét ugyan külsősként végezte, de a hatóság megállapításai munkaviszonnyal összefüggésben is relevánsak.) Tapasztalataink szerint a munkahelyi e-mailek munkaviszonyt követően történő tárolása elengedhetetlen, például incidensek utólagos kivizsgálása vagy üzletmenet-folytonosság biztosítása céljából, de az adatvédelmi feltételek még sok munkahelyi adatvédelmi tájékoztatóból hiányoznak. A döntés így a magyarországi munkáltatók számára is érdekes lehet.

A hatóság döntése ITT érhető el (kizárólag olasz nyelven).

A konkrét ügy körülményei

Az érintett kereskedelmi ügynökként megbízási jogviszonyban állt az adatkezelő társasággal, és a szerződése megszüntetését követően kifogásolta, hogy az adatkezelő aktívan fenntartotta a megbízási jogviszony fennállása alatt használt vállalati e-mail fiókját, valamint hozzáfért a fiókban található levelezés tartalmához. A hatósági megkeresésre az adatkezelő előadta, hogy nem közvetlenül fért hozzá az érintett e-mail fiókjához, hanem a fiók tartalmáról egy szoftver segítségével készített automatikusan és rendszeres biztonsági mentést, a mentéseket pedig a megbízási jogviszony megszüntetését követően legfeljebb három évig őrzi meg. Az adatkezelő hangsúlyozta, hogy ez csak egy, a kibertámadások által okozott adatvesztési kockázatok csökkentése érdekében bevezetett technikai biztonsági intézkedés. Az adott ügyben az érintett e-mailjeihez azért volt szükséges hozzáférni a megbízási jogviszony megszűnését követően, mert az adatkezelő feljelentést tett az érintett ellen üzleti titkok ellopásának gyanúja miatt. Az adatkezelő ennek során megbízott egy forensics szolgáltatót, hogy megállapítsa, az érintett kiszivárogtatott-e üzleti titoknak minősülő vállalati adatokat a megbízási jogviszony fennállása alatt.

Az adatvédelmi hatóság megállapításai

A hatóság megállapította, hogy

az adatkezelő megsértette a GDPR 13. cikkét, mivel az általa nyújtott tájékoztatás hiányos volt az adatkezelés céljainak és módszereinek teljes körű bemutatása tekintetében.

A tájékoztatás túl általános módon tartalmazta, hogy a személyes adatokat a megbízási jogviszony megszüntetésével kapcsolatos vagy abból eredő valamennyi kötelezettség teljesítéséhez szükséges ideig tárolják. Az adatkezelő nem jelölte meg azokat a konkrét célokat sem, amelyek elérése érdekében szükségesnek tartotta a 3 éves megőrzési időszak meghatározását a biztonsági mentések tekintetében. Ezen túlmenően, az adatkezelő az adatokat más célokra is használta, például az érintettel szemben jogi igények előterjesztésére. Ennek kapcsán a hatóság pontosította, hogy

a jogi igények védelme céljából történő adatkezelés már folyamatban lévő jogvitákat kell érintsen, nem pedig lehetséges eseteket.

Javaslatok a magyarországi munkáltatók részére

A fenti hatósági döntés (és a NAIH-nak a nagyon hasonló, „kórházi levelezés” ügyben hozott döntésének) tanulságai alapján a magyarországi munkáltatóknak is érdemes felülvizsgálniuk a munkavállalók e-mail fiókjairól készített biztonsági mentések megőrzésével kapcsolatos gyakorlatukat.

Az e-mail fiók inaktivitásával kapcsolatban elvárt automatikus rendszerüzenetek beállítása mellett, a munkavállalói adatkezelési tájékoztatónak tartalmaznia kell:

A biztonsági mentések jogalapját – ez valószínűsíthetően az adatkezelő GDPR 6. cikk (1) f) szerinti jogos érdeke. (Szükséges természetesen az érdekmérlegelési teszt is.)
A biztonsági mentések pontos célját – például: üzletmenet-folytonosság biztosítása vagy a lehetséges jogi igények kezelése (figyelemmel az adott munkakör / feladatkör sajátosságaira). Ezzel kapcsolatban nem tartjuk életszerűnek azt a megközelítést, hogy személyes adatokat csak konkrét, folyamatban levő jogi igények kezelése céljából lehessen jogszerűen megőrizni – nem lehet ugyanis kizárni, hogy egy-egy munkavállaló vagy megbízott tevékenységével kapcsolatban az irányadó elévülési időn belül harmadik fél a munkáltató által korábban értelemszerűen nem ismert jogi igényt érvényesít, amivel kapcsolatban szükség lehet az adatokra.
A biztonsági mentések megőrzésének pontos időtartamát, figyelemmel például az adott munkák / feladatok teljesítésével kapcsolatban felmerülő igények elévülési idejére.

A cikk megírásában közreműködött: Nagy Vanda

Süti	Időtartam	Leírás
COOKIE_SUPPORT	1 year	Ezt a sütit a Liferay állítja be. Ez a süti annak ellenőrzésére szolgál, hogy a látogató böngészője támogatja-e a sütiket.
JSESSIONID		JSP-ben írt webhelyek használják. Általános célú platform-munkamenet sütik, amelyek a felhasználók állapotának az oldalletöltések közötti fenntartására szolgálnak.
PHPSESSID		Ez a süti a PHP-alkalmazásokban található. A cookie a felhasználók egyedi munkamenet-azonosítójának tárolására és azonosítására szolgál a felhasználói munkamenet kezelése céljából a weboldalon. A munkamenet-süti a böngésző összes ablakának bezárásakor törlődik.
SERVERID		Ez a süti arra szolgál, hogy a felhasználót egy adott szerverhez rendelje, így jobb és gyorsabb szerveridőt biztosít. Emlékszik arra, hogy melyik szerver szállította az utolsó oldalt a böngészőnek. Segít a terheléselosztásban is.
viewed_cookie_policy	1 year	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Süti	Időtartam	Leírás
Gdyn	1 year 1 month	Ezt a sütit a Gemius szolgáltató állítja be. Ezt a sütit a MOSS és a fejlett webstatisztikák technikai munkamérésének végrehajtásához használják.
GUEST_LANGUAGE_ID	1 year	Ez a süti a látogatók által preferált nyelvi azonosító tárolására szolgál.

Süti	Időtartam	Leírás
_ga	2 years	Ezt a sütit a Google Analytics telepíti. A cookie-t a látogatói, munkamenet- és kampányadatok kiszámítására és a webhely használatának nyomon követésére használják a webhely analitikai jelentéséhez. A cookie-k névtelenül tárolják az információkat, és egy véletlenszerűen generált számot rendelnek hozzá az egyedi látogatók azonosításához.
_gat_UA-112481-1	1 minute	Ez a Google Analytics által beállított mintatípusú cookie, ahol a névben lévő mintaelem tartalmazza a fiók vagy a weboldal egyedi azonosító számát, amelyre vonatkozik. Ez a _gat cookie egy változata, amelyet a Google által rögzített adatok mennyiségének korlátozására használnak a nagy forgalmú webhelyeken.
_gid	1 day	Ezt a sütit a Google Analytics telepíti. A süti arra szolgál, hogy információkat tároljon arról, hogy a látogatók hogyan használják a weboldalt, és segít a weboldal teljesítményéről szóló elemzési jelentés elkészítésében. Az összegyűjtött adatok között szerepel a látogatók száma, a forrás, ahonnan érkeztek, és a meglátogatott oldalak névtelen formában.
UID	2 years	No description available.

Süti	Időtartam	Leírás
_goa3session	2 days	Ezt a sütit a szolgáltató Adverticum állítja be. Ezt a sütit a hirdetések kiszolgálásának folyamatához és a hirdetők számára statisztikai adatok gyűjtéséhez használják.
fr	3 months	A sütit a Facebook állítja be, hogy releváns hirdetéseket jelenítsen meg a felhasználóknak, valamint mérje és javítsa a hirdetéseket. A cookie a felhasználó viselkedését is nyomon követi az interneten keresztül azokon az oldalakon, amelyek Facebook pixellel vagy Facebook social pluginnal rendelkeznek.
Gtest	1 year 1 month	Ezt a sütit a felhasználói viselkedés és a weboldalon végzett tevékenységek gyűjtésére használják a weboldal optimalizálása érdekében. Segít továbbá a Google Ads és a Google Analytics számára a látogatói információk marketing célú összeállításában.
i	1 year	Nincs információ.
IDE	1 year 24 days	A Google DoubleClick használja, és információkat tárol arról, hogy a felhasználó hogyan használja a weboldalt és minden más hirdetést a weboldal meglátogatása előtt. Ezt arra használják, hogy a felhasználóknak a felhasználói profilnak megfelelő, számukra releváns hirdetéseket jelenítsenek meg.
mc	1 year 1 month	Ez a cookie a Quantserve-hez kapcsolódik, hogy anonim módon nyomon követhesse, hogy a felhasználó hogyan lép kapcsolatba a weboldallal.
test_cookie	15 minutes	Ezt a sütit a doubleclick.net állítja be. A cookie célja annak megállapítása, hogy a felhasználó böngészője támogatja-e a cookie-kat.
VISITOR_INFO1_LIVE	5 months 27 days	Ezt a sütit a Youtube állítja be. A weboldalon beágyazott YouTube-videók információinak nyomon követésére szolgál.
YSC	session	Ezt a sütit a Youtube állítja be, és a beágyazott videók megtekintésének nyomon követésére szolgál.

Süti	Időtartam	Leírás
_goa3test	2 years	No description available.
_ia_uid	5 months 27 days	No description
_ia_version	5 months 27 days	No description
CONSENT	16 years 6 months	No description
INX_CHECKER2	16 years 6 months	No description available.
legacy-psid		No description available.
nxdigitolvasosession		No description
psid	session	Nincs elérhető információ.
yt-remote-connected-devices	never	No description available.
yt-remote-device-id	never	No description available.

Munkavállalói e-mailek jogszerű megőrzése a munkaviszonyt követően

Kapcsolódó tartalmak

Hogyan őrizhetőek meg jogszerűen a munkavállalói e-mailek a munkaviszony megszűnését követően?

Közel 6 milliárd euró GDPR-bírság 2018 májusa óta uniós szinten – Magyarország az európai középmezőnyben – Milyen adatvédelmi kihívások várhatóak az idei évben?

Kötött vagy kötetlen munkarend – Munkaszervezési sajátosságok

Hogyan gyűjtsünk tanítóadatot jogszerűen egy MI-rendszer betanításához? – Szakértői összefoglaló a lagfontosabb tudnivalókról!

Hölgyem, Uram! – Lehet-e feltétele nemi identitására vonatkozó adat megadása vasúti menetjegy megvásárlásának? – Az EuB ítélete adatvédelmi kérdéseket tisztáz!

Az adatvédelem büntetőjogi aspektusai

Az egészségügyi dolgozók esete a Nagy Testvérrel – avagy lesz-e biometrikus beléptetés a Kórházakban?! – Hatályban az egészségügyi törvény módosítása!

Az Európai Bíróság legújabb adatvédelmi tárgyú ítéletei – A Magyar Jogász Egylet podcastja ITT meghallgatható!

Csoportos létszámcsökkentések várhatóak az autóiparban Magyarországon is – Az aktuális helyzet és a magyar jogi háttér!