skip to Main Content

NAIH bírság: Hozzáférési jog gyakorlása volt munkahelyi e-mail fiókhoz

Egy volt közalkalmazott magáncélra is használt, munkahelyi e-mail fiókjához való hozzáférési jog gyakorlása volt a témája a Nemzeti Adatvédelmi és Információszabadság Hatóság (korábbi NAIH-hal kapcsolatos cikkeink) 2020. júniusában meghozott egyik határozatának.

A NAIH csak részben adott helyt a hozzá forduló közalkalmazott (kérelmező) kérelmének, és csupán bizonyos körben állapította meg azt, hogy a munkáltató (adatkezelő) jogtalanul tagadta meg tőle, hogy az őt a GDPR 15. cikke alapján megillető hozzáférési jogát gyakorolja.

Ez a határozat álláspontunk szerint jól rávilágít a magáncélra is használt, munkahelyi e-mail-fiókokkal kapcsolatos NAIH-álláspontra, illetve ezzel összefüggésben a hozzáférési jog gyakorlásának a hasonló ügyekben is figyelembe vehető szempontjaira.

1. A határozat alapjául szolgáló tényállás

Az adatkezelő a kérelmező közszolgálati jogviszonyának fennállása alatt a munkahelyi e-mail-fiókok magáncélra történő használatát megengedettnek tekintette, bár a használatot nem szabályozta. Ennek megfelelően a kérelmező e-mail-fiókját magáncélra is használta.

A kérelmező a közszolgálati jogviszonyának megszűnését követően azzal a kérelemmel fordult az adatkezelőhöz, hogy az e-mail-fiókjának 2018. évi teljes archívumát CD lemezen adja ki számára. A kérelmező alapvetően munkavégzéssel összefüggő leveleihez kívánt hozzáférni, amik részben magánjellegűek voltak, így konferencia-jelentkezésekhez, folyóiratokban való publikációhoz kapcsolódó adatokat, illetve egyetemi képzésben használatos segédanyagokat is tartalmaztak. A kérelmező az archívum kiadásával kapcsolatban kérelmét az adatkezelő oldalán fennálló érdekre is alapozta, ugyanis szerinte a kért e-mailekkel érintett tudományos közlemények megjelenése az adatkezelő érdeke is.

Az adatkezelő a kérelmező kérelmét megtagadta. A megtagadás okaként csak annyit jelölt meg, hogy a nevében a kérelmező már nem jogosult eljárni, így a munkavégzéssel kapcsolatos levelezés sem tartozik rá.

Ezt követően a kérelmező a NAIH-hoz fordult jogorvoslatért.

2. A munkavállaló adatkezelői minősége és a közös adatkezelés

A NAIH megállapításai közül fontosnak tartjuk kiemelni azt, amely szerint a magáncélú levelezésekkel kapcsolatos, harmadik személyeket érintő adatkezelés tekintetében a munkavállaló (közalkalmazott) maga is adatkezelőnek minősül, hiszen a munkáltató helyett itt az adatkezelés célját ő határozza meg.

Ugyanakkor, ha ezekben a magáncélú e-mailekben foglalt személyes adatokat a munkavállaló (közalkalmazott) személyes vagy otthoni tevékenysége keretében kezeli (tehát nem mondjuk a saját üzleti vállalkozásával kapcsolatban levelez a munkahelyi e-mail-fiókját használva), akkor ő nem fog a GDPR hatálya alá tartozni. Ebben az esetben a NAIH szerint egy olyan sajátos együttes adatkezelési helyzet áll elő, amelyben a munkáltató a GDPR szerinti adatkezelő lesz, míg a munkavállaló (közalkalmazott) – legalábbis jogi értelemben – nem.

Ilyenkor a NAIH meglátása szerint továbbra is a munkáltatóé marad az elsődleges felelősség az adatkezelés jogszerűségért, mert neki állnak rendelkezésére azok az eszközök, amelyekkel a jogszerűség biztosítható (belső szabályozási és technikai operatív intézkedések meghozatala), felvetik azonban a közös adatkezelés lehetőségét is, elvárva a szükséges közös adatkezelői megállapodás kötését a GDPR 26. cikke szerint a munkavállaló és a munkáltató között, melynek a valóságban azért nem sok realitása van.

A NAIH egyébként hasonló álláspontra helyezkedett több, az elmúlt időszakban meghozott határozatában is (NAIH/2019/51/11; NAIH/2019/769).

3. Az adatkezelő eljárásának megítélése

A hozzáférési jog gyakorlása megtagadása

A NAIH megállapította, hogy az adatkezelő jogszerűen tagadhatta meg a kérelmező hozzáférését az e-mail-fiókjának teljes 2018. évi archívumához. A kérelmező oldaláról ugyanis a jogviszonya megszűnését követően már nem azonosítható olyan jogszerű cél vagy érdek, amely a munkavégzéssel összefüggő adataihoz és akár a munkáltató üzleti titkait tartalmazó leveleihez való hozzáférést lehetővé tenné.

Ugyanakkor a NAIH leszögezte, hogy ez nem jelenti azt, hogy a kérelmező a magáncélú leveleihez ne férhetne hozzá. E körben az adatkezelő a GDPR 15. cikkét megsértve, jogellenesen tagadta meg a kérelmező hozzáférés iránti kérelmét. A NAIH ezen levelek kiadásának módjával kapcsolatban hivatkozott a GDPR (63) preambulumbekezdésére. Ez kimondja, hogy „ha az adatkezelő nagy mennyiségű információt kezel az érintettre vonatkozóan, kérheti az érintettet, hogy az információk közlését megelőzően pontosítsa, hogy kérése mely információkra vagy mely adatkezelési tevékenységekre vonatkozik”. A NAIH megállapítása szerint egy munkahelyi email-fiók olyan nagy mennyiségű be- és kimenő levelet tartalmaz, tartalmazhat, hogy az adatkezelőtől nem lehetett elvárni, hogy a kérelmező által tágan meghatározott témájú leveleket maga válogassa le és küldje el számára.

A NAIH a magáncélú levelek kiadásával kapcsolatban a kérelmező által megadott tartalomjegyzék alapján történő kiválogatást, illetve azt a megoldást tartotta elképzelhetőnek, hogy az adatkezelő és a kérelmező közösen leválogatják a magáncélú leveleket.

Az adatkezelői tájékoztatás megfelelősége és átláthatósága

A NAIH határozatában a GDPR 15. cikkének megsértése mellett megállapította a GDPR 12. cikk (1)-(2) bekezdésének adatkezelő általi megsértését is, tekintettel arra, hogy az adatkezelő a kérelem megtagadását nem indokolta, azokat csak a NAIH eljárása során adta elő, és a konkrét magáncélú levelek kiadását is csak a NAIH eljárása során ajánlotta fel a kérelmezőnek.

Jogkövetkezmény

A NAIH a fentiek alapján arra jutott, hogy a figyelmeztetés nem arányos szankció, bírság kiszabása szükséges.

A bírság mértékénél a NAIH elsősorban arra volt figyelemmel, hogy az adatkezelő elmarasztalására a GDPR megsértése miatt még nem került sor, így a kisebb mértékű bírsággal is elérhetőnek tartotta a generális és speciális prevenciót. A kiszabott bírság ennek megfelelően 200.000,- Ft volt.

4. Általunk még fontosnak tartott észrevételek

A jelen ügyben a kiindulópontot az jelentette, hogy mivel az adatkezelő nem szabályozta a munkahelyi e-mail-fiók használatát, az magáncélra is használható volt. Azt ezzel kapcsolatban fontos tudni, hogy a Munka Törvénykönyve hatálya alá tartozó jogviszonyokban jelenleg ennek a logikának – a Munka Törvénykönyve tavalyi módosítása következtében – az ellenkezője igaz. A munkavállaló a munkáltató által a munkavégzéshez biztosított e-mail-fiókot – eltérő megállapodás hiányában – kizárólag a munkaviszony teljesítése érdekében használhatja. A munkáltatónak és a munkavállalónak tehát kifejezetten meg kell állapodniuk a magáncélú használat lehetőségében, enélkül ugyanis az nem lesz megengedett.

Akár engedélyezett a magáncélú használat, akár nem, ugyanúgy biztosítandó az érintettnek a magáncélú leveleihez való hozzáférés, amely során azonban figyelemmel kell lenni a munkáltató gazdasági és jogi érdekeire is. A hozzáférés biztosításának a leghatékonyabb módja a NAIH által javasolt közös kiválogatásos módszer lehet, az ugyanis valószínűleg ritka, hogy az érintett fejből meg tudná mondani, pontosan mely e-mailekre van szüksége.

A jelen ügyben tárgyalthoz hasonló jogviták elkerülésének legbiztosabb módszere az lehet, ha a munkáltató mind a munkahelyi e-mail-fiók használatát, mind az azzal kapcsolatos jogok gyakorlását (így például a magáncélú e-mailek közös leválogatásának követelményét és annak részletszabályait) belső szabályzatban (eljárásrendben) rendezi.

A cikkben tárgyalt határozat teljes szövege itt olvasható: https://www.naih.hu/files/NAIH-2020-34-3-hatarozat.pdf

Back To Top