Mi történik az e-mailjeinkkel a munkaviszony megszűnése után?

A munkaviszony lezárásakor sokan természetesnek veszik, hogy a munkahelyi e-mail-fiókjuk megszűnik, és az abban található levelezés végleg eltűnik. A gyakorlat azonban ennél jóval összetettebb.

A legtöbb szervezetnél az e-mail-fiók tartalma archiválásra kerül, és nem feltétlenül törlődik automatikusan. Felmerül a kérdés: hozzáférhet-e a volt munkáltató a fiók tartalmához a jogviszony megszűnését követően, különösen akkor, ha abban magánjellegű levelek is találhatók?

A NAIH-2019-51. számú határozat egy olyan ügyben született, amely éppen erre a problémára világít rá, és egyértelmű iránymutatást ad a munkáltatók és munkavállalók számára az elektronikus levelezés adatvédelmi kereteiről, jelen cikk ezt mutatja be röviden.

A jogvita és a hatósági álláspont

Az ügy alapját az képezte, hogy egy volt munkavállaló tudomást szerzett arról, miszerint a korábban általa használt, magáncélra is igénybe vett intézményi e-mail-fiókokat archiválták, de mégis később azokban dokumentumkeresést végeztek. Álláspontja szerint nem kapott megfelelő tájékoztatást arról, hogy a fiók megszüntetése valójában csak technikai inaktiválást jelent, és a tartalom később is hozzáférhető marad. A levelezés jelentős mennyiségű, a munkavégzéssel össze nem függő személyes adatot is tartalmazott.

A munkáltató azzal védekezett, hogy az e-mail fiók munkaeszköznek minősült, archiválása az adatbiztonságot szolgálta, és a keresés kizárólag egy konkrét, munkavégzéssel összefüggő dokumentum felkutatására irányult. Állítása szerint nem történt a fiók újbóli aktiválása, csupán az archívumban zajlott célzott vizsgálat.

A Nemzeti Adatvédelmi,- és Információszabadág Hatóság (továbbiakban: NAIH) a kérelmet megalapozottnak találta. Megállapította, hogy a munkáltató megsértette a GDPR több alapelvét, különösen a célhoz kötött adatkezelés, a korlátozott tárolhatóság és az elszámoltathatóság követelményét. A hatóság kimondta, hogy a munkavégzéssel össze nem függő magánlevelezés további tárolása jogellenes volt, és elrendelte az ilyen adatok törlését. Emellett kötelezte a munkáltatót adatkezelési gyakorlatának felülvizsgálatára, megfelelő belső szabályzatok és technikai intézkedések bevezetésére, valamint 500 000 forint adatvédelmi bírságot szabott ki.

A határozat fontos megállapítása volt, hogy bár az intézményi e-mailfiók feletti rendelkezési jog a munkáltatót illeti meg, ez nem jelent korlátlan hozzáférési jogosultságot a benne található személyes adatokhoz. A munkáltató csak akkor kezelheti a magánjellegű adatokat, ha annak konkrét, jogszerű célja és megfelelő jogalapja van. A munkaszerződés önmagában nem elegendő a magánlevelezés korlátlan archiválására, különösen a munkaviszony megszűnését követően.

A NAIH hangsúlyozta az elszámoltathatóság jelentőségét is: az adatkezelőnek nemcsak be kell tartania az adatvédelmi alapelveket, hanem képesnek kell lennie azok gyakorlati érvényesülésének igazolására is. Ennek hiányában az adatkezelés jogszerűsége nem tekinthető bizonyítottnak.

Összegzés, Gyakorlati következtetések

A határozat egyértelmű üzenetet hordoz. A munkáltató adatkezelői felelőssége fennáll akkor is, ha a munkavállaló a munkahelyi e-mailfiókot magáncélra használja. Ugyanakkor a magánjellegű levelezés kezelése csak szigorú feltételek mellett, világos jogalappal és arányos módon történhet.

A munkáltatóknak célszerű részletes, átlátható belső szabályzatot alkotniuk az e-mail-használat, az archiválás és az ellenőrzés rendjéről, valamint előzetesen, egyértelműen tájékoztatniuk a munkavállalókat. A munkavállalók számára pedig fontos tanulság, hogy a munkahelyi e-mailfiók – még magánhasználat engedélyezése esetén is – nem tekinthető teljes mértékben privát térnek.

A digitális munkakörnyezetben az elektronikus levelezés kezelése nem pusztán informatikai kérdés, hanem kiemelt adatvédelmi felelősség is. A megfelelő szabályozás és dokumentált megfelelés hiánya komoly jogkövetkezményekkel járhat.