Munkaviszony megszűnését követően aktív maradhat-e a kilépett munkavállaló e-mail-fiókja?

Megosztás Tetszik

Olvasónkban felmerült a kérdés, hogy meddig maradhat aktív a munkavállaló e-mail-fiókja a munkaviszony megszűnését követően, kezelheti-e azt a munkáltató a munkavállaló kilépését követően. A kérdésre dr. Hajdu-Dudás Mária munkajogi ügyvéd szakértőnk válaszolt.

A kérdés részletesen így szólt: Meddig maradhat aktív – jogszabály szerint – a munkavállaló e-mail-fiókja, és az üzleti partnerektől beérkező leveleket kezelheti-e a munkáltató? Lehetőség van-e másik munkavállaló részére átirányítani a kilépés után érkező leveleket? A kilépett dolgozó munkaviszonya alatt keletkezett leveleket archiválhatja-e a cég, későbbi visszakeresés céljából? Esetleges jogsértésből adódó elmarasztalás esetén milyen bírságra és milyen hatóságtól lehet számítani?

SZAKÉRTŐNK VÁLASZA

A munkaviszony megszűnésével a munkavállaló e-mail-hozzáférését a munkáltató azonnal köteles megszüntetni, ellenkező esetben adatvédelmi incidens jönne létre az adatok jogosulti körből történő kikerülésével. Valóban, a fiók megszüntetése előtt egy automatikus üzenetet javasolt küldeni, mely tájékoztatja a levélírót, hogy az érintett munkavállaló már nem dolgozik a cégnél, illetve megadni egy másik illetékes személy elérhetőségét, akivel felvehetik a kapcsolatot. Az e-maileket a munkáltató jogos érdekére (ügyféladatok megfelelő fogadása, intézése) mint jogalapra támaszkodva ésszerű átmeneti ideig ellenőrizheti. Az adatkezelés ugyanakkor nem tarthat tovább, mint ameddig feltétlenül szükséges (nem tarthat túlzottan hosszan). Ez mindig az adott esettől függ, mindenesetre nagyon rövid tartamra kell gondolni (kb. egy hónapban érdemes gondolkodni).

Nagyon lényeges ehhez kapcsolódva, hogy a munka törvénykönyvéről szóló 2012. évi I. törvény (Mt.) 11/A. § (3) bekezdése szerint a munkáltató ellenőrzése során a munkaviszony teljesítéséhez használt számítástechnikai eszközön tárolt, a munkaviszonnyal összefüggő adatokba tekinthet be. Ebből az következik, hogy a magáncélú használatból eredő adat akkor sem kezelhető, ha a munkavállaló az erre vonatkozó tilalom megszegésével járt el, azaz ha például tiltás ellenére folytatott magánjellegű levelezést a munkáltató által rendelkezésre bocsátott laptopon. A NAIH jó gyakorlatnak tartja, ha a munkáltató lehetőséget biztosít arra, hogy a munkavállaló a munkaviszonya megszűnését megelőzően (jellemzően az utolsó munkanapján) törölje a magáncélú leveleit. Ha a munkavállaló nem él ezen lehetőségével és a munkáltató igazolni tudja ennek biztosítását, a munkáltatót nem terheli felelősség.

Abban az esetben, ha a munkavégzési célú és magáncélú levelek elkülönítése túlzott terhet jelentene a munkáltató számára, akkor a magáncélú levelek is archiválhatók, azonban ezeken a puszta tároláson kívül semmilyen további műveletet nem végezhet a munkáltató. Ez is csak akkor lehet jogszerű megoldás, ha a munkáltató bizonyítani tudja, hogy a magáncélú levelek leválogatása aránytalanul nagy és észszerűtlen erőfeszítést igényelt volna. Ugyanakkor az archiválás során minden esetben meg kell határozni az archivált dokumentumok megőrzési idejét. Az archiválás ugyanis nem jelenthet korlátlan ideig történő adatmegőrzést. Az archív anyag megőrzésének idejét minden esetben egyedileg, az archiválással támogatott célhoz igazodóan kell meghatározni.

Ami az archívumokban való keresést illeti: amennyiben a munkaviszony megszűnésekor a munkáltató nem biztosítja igazolható módon a magáncélú tartalmak leválogatásának lehetőségét, vagy arra egyéb okból nem került sor, a volt munkavállaló e-mail-fiókjának tartalmában való keresésnek hiába lehet jogszerű célja és megfelelő jogalapja, az e-mail-fiók tartalmának volt munkavállaló jelenléte nélküli áttekintése a GDPR 5. cikk (1) bekezdés a) pontja szerinti tisztességes adatkezelés elvébe ütközik.

Mindenképpen vegyék figyelembe, hogy a NAIH álláspontja szerint a munkáltatónak belső szabályzatokat célszerű megalkotni egyrészt a munkavállalók rendelkezésére bocsátott e-mail-fiókok használatának szabályairól: az e-mail-fiókokról biztonsági másolat készítéséről és megőrzéséről, inaktiválásuk szabályozásáról, illetve arról, hogy mikor kerül sor az e-mailek végleges törlésére, valamint az e-mail-fiókok használata ellenőrzésének, áttekintésének részletes szabályairól, azt ki és milyen módon hajthatja végre a szervezeten belül, illetve milyen jogai vannak az érintett munkavállalónak az eljárás során. Továbbá a munkáltatóktól elvárható, hogy előzetesen szabályozásra kerüljön, hogy a munkavállalók rendelkezésére bocsátott számítástechnikai eszközök ellenőrzését miként kell lefolytatni, az adott ellenőrzés során kinek, milyen hozzáférése lehet az ellenőrzéssel érintett munkavállaló számítástechnikai eszközeihez, felhasználó fiókjához annak érdekében, hogy a munkavállalók világos, egyértelmű, a jelenlétükre is kiterjedő információkkal rendelkezzenek (a NAIH-3644-9/2021. számú ügyet itt olvashatják el, érdemes megtenni: NAIH-3644-2021-hatrozat.pdf).

A közigazgatási bírság kiszabására vonatkozó feltételeket az általános adatvédelmi rendelet 83. cikke tartalmazza. Az az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (Infotv.) 75/A. §-a szerint a Hatóság az általános adatvédelmi rendelet 83. cikk (2)-(6) bekezdésében foglalt hatásköreit az arányosság elvének figyelembevételével gyakorolja, különösen azzal, hogy a személyes adatok kezelésére vonatkozó – jogszabályban vagy az Európai Unió kötelező jogi aktusában meghatározott – előírások első alkalommal történő megsértése esetén a jogsértés orvoslása iránt – az általános adatvédelmi rendelet 58. cikkével összhangban – elsősorban az adatkezelő vagy adatfeldolgozó figyelmeztetésével intézkedik. Az Infotv. 61. § (4) bekezdés b) pontja alapján a bírság mértéke százezertől húszmillió forintig terjedhet, ha az adatvédelmi hatósági eljárásban hozott határozatban kiszabott bírság megfizetésére kötelezett költségvetési szerv, az általános adatvédelmi rendelet 83. cikke szerint kiszabott bírság esetén. A Hatóság annak eldöntésében, hogy indokolt-e a bírság kiszabása, illetve a bírság mértékének megállapítása során az eset összes körülményeit figyelembe veszi, így különösen a jogsértéssel érintettek körének nagyságát, a jogsértés súlyát, a magatartás felróhatóságát, valamint azt, hogy a jogsértővel szemben korábban állapítottak-e meg a személyes adatok kezelésével kapcsolatos jogsértést.