Mi történjen a kilépő munkavállaló e-mail fiókjával?

november 4, 2020
Cikkek, GDPR oktatás

Ebben a kérdésben kellett eljárást lefolytatnia a Belga Adatvédelmi Hatóságnak (BDPA), mely 2020. szeptember 29-re hozta meg végleges döntését az ügyben. A Hatóság döntése az első vélemények szerint igen szigorúra és célravezetőre sikerült, ezért némi ellenállás várható az érintett cégek részéről. Korábban egyébként a NAIH is szabott ki bírságot hasonló témakörben, mely kapcsán részeletesen ismertettük a Hatóság álláspontját az ilyen célú magyar adatkezelések kapcsán. A hatóságok eddigi gyakorlatát látva az mindenképp megállapítható, hogy a kilépő munkavállaló e-mail fiókjában lévő levelek további kezelése roppant kényes kérdéskör és rendkívül figyelmesen kell eljráni.

A BDPA a következő kérdésekre kereste a választ:

• Lehetséges-e továbbítani a távozott munkatárs beérkező leveleit egy másik felhasználónak, illetve szükséges-e erről a küldőket automatikus üzenet segítségével tájékoztatni?
• Megengedhető-e a korábbi alkalmazottnak, hogy átnézze és összegyűjtse, vagy törölje munkahelyi postafiókjában található személyes üzeneteit?
• Milyen körülmények között férhet hozzá a vállalat egy korábbi alkalmazott munkahelyi e-mail fiókjához, miután ő már távozott a cégtől?

A BDPA egy cég ügyében volt kénytelen konkrét válaszokat adni az előbbi kérdésekre. A kérdéses cég egykor egy családi vállalkozás volt, mely 2016 novemberében hirtelen elbocsátotta vezérigazgatóját, a cég alapítójának fiát. Ezt követően további családtagok távoztak a cégtől, azonban a céges e-mail címeik (név@cég.com) még 2019 márciusában is használatban voltak, ezért a korábbi vezérigazgató követelte ezen e-mail címek törlését.

A sikertelen mediációt követően az ügy átkerült a polgári bíróság elé – Belgiumban az adatvédelmi pereket is mediációs eljárás előzi meg. A cég ellenőrzése során megállapításra került, hogy bizonyos e-mail címek valóban aktívak voltak, erre a cég azt a magyarázatot adta, hogy a kérdéses címek az alkalmazottak távozása után deaktiválva lettek, azonban az oda érkező e-maileket továbbították más címekre, mivel nem akartak potenciálisan fontos üzenetekről lemaradni. A korábban ott dolgozó munkatársak olyan pozíciókat töltöttek be a cégnél, melyekre tekintettel az erre a címre érkező e-mailek kézbesítése a működés szempontjából fontos volt a cégnek.

A Hatóság megállapította, hogy az adattakarékosság elvének megfelelően a munkavállalói e-mail fiókokat fel kell függeszteni legkésőbb azon a napon, amikor az érintett alkalmazott a cégtől távozik. Ezzel kapcsolatban részletes okfejtést is készített:

A munkavállaló távozása előtt:

Megfelelő (IT) eljárásrendek és mechanizmusok alkalmazása

A cégeknek rendelkeznie kell belső mechanizmussal, mely a távozó munkatársakkal és a rájuk vonatkozó informatikai kérdésekkel foglalkozik. Ezt kifejezetten a személyes és munkahelyi e-mailek különválasztására kell érteni.

Bár kevés szó esik, de ugyanez a helyzet egyébként a papír alapon „hátramaradó” adatokkal is.

Személyes és munkahelyi e-mailek szétválogatása

Amikor a személyzet egyik tagja elhagyja a céget, ugyanúgy lehetőséget kell számára biztosítani a személyes e-mailjei összegyűjtéséhez, mint ahogy ez a munkaállomásánál a személyes tárgyainak vonatkozásában történik. Egy jól működő cégnél ennek azt megelőzően kell megtörténnie, hogy az érintett ténylegesen távozna a cégtől, ennek végrehajtására és felülvizsgálatára egy megbízható személy kijelölése javasolt.

Közölje a cég az e-mail fiók blokkolását

Egyes e-mail fiókok blokkolása esetén az érintettet erről előzetesen tájékoztatni kell.

Automatikus válaszüzenet aktiválása

A fiók megszüntetése előtt a cégnek aktiválnia kell egy automatikus üzenetet, mely tájékoztatja a levélírókat, hogy az érintett személy már nem dolgozik a cégnél, illetve megadja egy másik illetékes személy elérhetőségét, akihez kérdéseikkel fordulhatnak. A BDPA szerint ez jóval ajánlatosabb, mint az üzenetek egyszerű továbbítása, így ugyanis a küldők értesülnek a változásról, és így elejét lehet venni annak, hogy véletlenül érzékeny információkat osszanak meg illetéktelen személyekkel, valamint azt is, hogy az állandó továbbítás miatt évekig használatban maradjon egy fiók.

A munkavállaló távozása után:

Az automatikus válaszüzenet fenntartása

A munkavállaló távozásáról tájékoztató automatikus válaszüzenetnek ideális esetben legalább egy hónapig üzemelni javasolt. Ez az időtartam kitolható, ha az érintett vezető, vagy a cég szempontjából kritikus posztot töltött be, azonban a maximális alkalmazás ideális esetben ne haladja meg a 3 hónapot, arra legyen megfelelő indoklás, illetve az érintett személyt erről tájékoztatni kell.

A fiók törlése

Az automatikus válaszüzenet maximális időtartamának (3 hónap) elérése után az e-mail fiókot törölni kell.

A követelmények megfogalmazásakor a BDPA az EU CM/Rec (2015) 5. számú ajánlását vette alapul. A Hatóság véleménye szerint megfelelő jogalap lehet az e-mail cím megőrzéséhez a cég jogos érdeke a működés zavartalan fenntartására, azonban az átmeneti időszak lejárta után ez már nem használható.

Döntés

A BDPA az érintett céget 15.000 euró bírsággal (~5,5M Ft) sújtotta, mely jelentős összegnek számít, figyelembe véve a cég méretét, ahol jelenleg összesen 13 munkatárs dolgozik. A bírság kiszabásával a BDPA egyértelmű jelet küldött a cégek számára, hogy a korábbi alkalmazottak e-mail fiókjainak működtetése is szigorú szabályokhoz kötött.

Belgium GDPR 5. cikk GDPR 6. cikk GDPR 77. cikk GDPR 83. cikk Munkahelyi adatkezelés Munkavégzés Relevancia érték: 3

A munkavállaló távozása előtt:

Megfelelő (IT) eljárásrendek és mechanizmusok alkalmazása

Személyes és munkahelyi e-mailek szétválogatása

Közölje a cég az e-mail fiók blokkolását

Automatikus válaszüzenet aktiválása

A munkavállaló távozása után:

Az automatikus válaszüzenet fenntartása

A fiók törlése

Döntés

Újabb adatvédelmi incidens a Marriott hotelláncnál

5 milliárd dollárba kerülhet a Google-nek a félrevezető inkognitó mód

Az Amazon a saját dolgozói magánéletét is megfigyeli