A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) két ügyben is bírságot szabott ki a munkavállalók elektronikus levelezésének ellenőrzése kapcsán. A munkáltatók egyik esetben sem tájékoztatták megfelelően az általuk foglalkoztatott alkalmazottakat személyes adataik kezeléséről, és nem volt megfelelő belső szabályzatuk sem a levelezés ellenőrzésének lefolytatására.
Hozzáférés hiányzó munkavállaló e-mail fiókjához
Az első esetben a munkáltató betekintett a betegszabadságon levő munkavállaló asztali számítógépén és laptopján tárolt adatokba, valamint az e-mailjeibe, annak érdekében, hogy a keresőképtelen állományban lévő munkatárs távolléte alatt is el tudják látni annak munkával kapcsolatos feladatait. A munkáltató az ellenőrzés során több hiányosságot is talált, ezután felfüggesztette a munkavállaló emailfiókját. A munkavállaló panaszt nyújtott be a NAIH-hoz, mivel erről nem kapott előzetes értesítést, így nem volt alkalma átmásolni és törölni a magánjellegű adatait (pl. privát telefonszámok, üzenetek). A NAIH 1.000.000 forintos bírságot szabott ki a munkáltatóra.
A második esetben a munkáltató egy olyan igazgató e-mail fiókját állíttatta vissza egy, az igazgató számára korábban elküldött jogi jellegű dokumentum megtalálása érdekében, aki már egy évvel korábban elhagyta a szervezetet. Az első esethez hasonlóan a kérelmező panaszt tett a NAIH-nál, mivel nem kapott előzetes tájékoztatást arról, hogy inbox-át újra aktiválni fogják, így nem volt lehetősége átmásolni és törölni magánjellegű levelezését. A NAIH 500.000 forintos bírságot szabott ki a munkáltatóra.
A munkáltatók jogos érdekének elismerése
A NAIH egyetértett a munkáltatói érveléssel abban, hogy egy betegszabadságon lévő munkatárs, aki ez idő alatt nem tudja ellátni feladatait, anyagi és jogi következményekkel járó kockázatot jelent és veszélyeztetheti a szervezet integritását. A munkáltató jogszerű üzleti érdeke, hogy megakadályozza vagy csökkentse ezeket a kockázatokat. A NAIH azt is elismerte, hogy biztonsági okokból szükségessé válhat a volt munkatársak e-mail fiókjainak archiválása, de azt is kiemelte, hogy a munkáltatóknak minden esetben meg kell felelniük az adatvédelmi szabályoknak.
Mire érdemes figyelni munkáltatóként:
- A munkaszerződésnek szabályozniuk kell, hogy az alkalmazottak használhatnak-e munkahelyi informatikai eszközöket magáncélokra.
- Az adatvédelmi tájékoztatóknak tartalmazniuk kell a munkatársak informatikai eszközei ellenőrzésének céljait (pl. üzletfolytonosság, belső vizsgálatok, fegyelmi okok, stb.).
- A munkáltatóknak ún. „érdekmérlegelési teszteket” kell készíteniük, amelyekkel alátámasztják jogos érdekeiket a munkavállalók magatartásának ellenőrzése és egyéb speciális esetek kapcsán.
- A munkavállalónak, vagy képviselőjének jelen kell lennie, amikor hozzáférnek a munkavállaló adataihoz, még akkor is, ha a munkavállaló már nem dolgozik az adott szervezetnél.
- Biztosítani kell, hogy a munkavállalók elkérhessék magánjellegű adataik másolatát vagy kérhessék azok törlését.
- A munkáltatók kötelesek jegyzőkönyvet és fényképeket készíteni az adatokhoz való hozzáférésről. A munkáltatóknak továbbá olyan belső eljárásrendet kell készíteniük az archiválási folyamataikról, valamint az informatikai eszközök és e-mail fiókok használatáról, amelyek tartalmazzák például a használat fokozatos ellenőrzésének egyes lépéseit, továbbá azon személyek körét, akik felhatalmazással rendelkeznek az ellenőrzések lefolytatására.