A munkahelyi e-mail fiók ellenőrzése

A munkahelyi e-mail fiók ellenőrzésével kapcsolatban az Európai Parlament és a Tanács (EU) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről szóló 2016/679 rendelet (a továbbiakban: GDPR-rendelet) szerinti adatvédelmi munkacsoport és az adatvédelmi felügyeleti hatóságok tevékenysége, valamint a bírósági joggyakorlat nyomán kiterjedt adatvédelmi joggyakorlat alakult ki.

A Munka Törvénykönyvéről szóló 2012. évi I. törvény (a továbbiakban: Mt.) 11/A. § rendelkezése szabályozza a munkavállaló ellenőrzésére vonatkozó általános szabályokat, amely szerint a „munkavállaló a munkaviszonnyal összefüggő magatartása körében ellenőrizhető”,
azaz a jogszabály egyértelműen kizárja a munkavállaló magánéletéhez fűződő magatartásának munkáltató általi ellenőrzését.

Az Mt. 11/A. § (2) bekezdése főszabállyá teszi azt, hogy eltérő megállapodás hiányában a munkavállaló a munkáltató által a munkavégzéshez biztosított információ-technológiai eszközt, rendszert kizárólag a munkaviszony teljesítése érdekében használhatja. Fontos megjegyezni, hogy az Mt. 11/A. § (5) bekezdése szerint, amennyiben a felek megállapodása alapján a munkavállaló a munkaviszony teljesítése érdekében saját számítástechnikai eszközt használ, úgy a munkáltató ellenőrzése során a munkaviszony teljesítéséhez használt számítástechnikai eszközön tárolt, a munkaviszonnyal összefüggő adatokba betekinthet.

A Nemzeti Adatvédelmi és Információszabadság Hatóság (a továbbiakban: NAIH) 2019/51/11. számú határozata alapján a GDPR-rendelet fogalommeghatározásai szerint a munkahelyi e-mail-fiók adattartalma személyes adatnak, a személyes adaton elvégzett bármely művelet pedig adatkezelésnek minősül. Az adatkezelés jogszerűségének elbírálásakor annak van jelentősége, hogy az adatkezelésre a munkavállaló munkaviszonyával összefüggő magatartása körében került-e sor, vagy sem, hiszen az Mt. 11/A. (3) bekezdése kimondja, hogy a munkáltató ellenőrzése során a munkaviszony teljesítéséhez használt számítástechnikai eszközön tárolt, a munkaviszonnyal összefüggő adatokba tekinthet be.

A jogi szabályozás alapján mindaddig, amíg a munkáltató és a munkavállaló eltérően nem állapodik meg, abból kell kiindulni az ellenőrzés során, hogy a számítástechnikai eszközt a munkavállaló kizárólag munkavégzés céljára használhatja. Ettől függetlenül a megállapodás ellenére is sor kerülhet magáncélú használatra, ami eredményeképpen a munkáltató részéről személyes adatok kezelésére kerülhet sor azáltal, hogy a céges postafiókban munkavégzéssel össze nem függő személyes adatok kerülnek tárolásra.

A NAIH 2019/769 számú határozatában akként rendelkezik, hogy „ha a munkavállaló magánlevelezést folytat a társaság által rendelkezésre bocsátott munkaeszközön és annak rendszerében, úgy az adatkezelés célját nem a munkáltató határozza meg, hanem maga a munkavállaló. Ez azt jelenti, hogy a magáncélú használat során, tehát amikor a munkavállaló harmadik személynek küld ki levelet „céges” e-mail címéről maga is adatkezelővé válik a harmadik személyek személyes adatai tekintetében. Ez a körülmény találkozik azzal a ténnyel, hogy a céges e-mail-fiók, valamint a rendszer működtetése a munkáltató feladata és hatásköre, amely során a személyes adatokat tároló eszköz feletti rendelkezési jogát a munkáltató nem veszti el, így a magáncélú adatok tekintetében ezért adatkezelő marad.”

A munkahelyi e-mail fiók ellenőrzésére bizonyos konkrét szabályok szigorú betartása mellett, legitim cél és jogalap mellett kerülhet sor abban az esetben is, ha az adatokat a munkavállaló jogosulatlanul tárolja az adott eszközön.

A kialakult joggyakorlat a munkáltató jogos érdekét tekinti az adatkezelés megfelelő jogalapjának, azonban ez előtt is előzetesen el kell végeznie a munkáltatónak egy úgynevezett érdekmérlegelési tesztet, amelyben - mindig az adott eset konkrét tényei alapján, - megfelelően alá kell támasztania a jogos érdeke fennállását és annak elsőbbségét a munkavállaló érdekeivel szemben. Az érdekmérlegelési teszt kimenetele számos tényező függvénye (pl. a munkáltató jogos érdekének súlya, az ellenőrizni kívánt eszköz, az ellenőrzés időtartama, intenzitása, az ellenőrizni kívánt munkavállaló pozíciója, feladatköre stb.).

Adatkezelésre csak akkor kerülhet sor, ha a két érdek összevetése alapján az állapítható meg, hogy a munkáltató adatkezeléshez fűződő érdeke elsőbbséget élvez a munkavállaló adatvédelemmel kapcsolatos jogaival, érdekeivel és szabadságaival.

Az ellenőrzés során az adatvédelmi elvekre, különösen a célhoz kötöttség és az adattakarékosság elvére is tekintettel kell lenni. Az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (a továbbiakban: Info törvény) 4. § (1)-(2) bekezdése alapján a személyes adat kizárólag meghatározott célból, jog gyakorlása és kötelezettség teljesítése érdekében kezelhető azzal, hogy az adatkezelésnek minden szakaszában meg kell felelnie az adatkezelés céljának, az adatok felvételének és kezelésének tisztességesnek és törvényesnek kell lennie. Csak olyan személyes adat kezelhető, amely az adatkezelés céljának megvalósulásához elengedhetetlen, a cél elérésére alkalmas és az is csak a cél megvalósulásához szükséges mértékben és ideig kezelhető. Összességében tehát csak olyan adat ellenőrizhető, amely az ellenőrzés céljához szükséges, ha az lényeges, ha az adat kezelése nélkül nem lenne lehetséges a munkaviszony létesítése, fenntartása, megszűnése.

A NAIH több határozatában is megállapítja, hogy a munkahelyi ellenőrzéssel összefüggő adatkezelésnél a tisztességes adatkezelés elvéből az következik, hogy az ellenőrzés során főszabályként biztosítani kell a munkavállaló jelenlétét. „Ha a munkavállaló jelenléte nem biztosítható, abban az esetben is egyrészt tájékoztatást kell nyújtani a munkavállaló számára a tervezett munkáltatói intézkedésről, másrészt lehetőséget kell biztosítani számára arra is, hogy ha ő nem is tud jelen lenni, helyette meghatalmazottja vagy képviselője legyen jelen az ellenőrzésnél. Ha az előzetes tájékoztatás ellenére sem az érintett munkavállaló, sem meghatalmazottja nincs jelen, a munkáltatónak mindent meg kell tennie annak érdekében, hogy az ellenőrzés körülményei olyan módon legyenek rögzítve, hogy annak pontos menete, az annak során megismert adatok köre, azaz a ténylegesen elvégzett adatkezelési műveletek, és azok jogszerűsége utólag ellenőrizhető legyen.”

„Fontos hangsúlyozni továbbá, hogy az elszámoltathatóság elvével összhangban a munkáltatónak igazolnia kell tudni a fenti összetett követelményrendszernek való megfelelést, ami egyértelművé teszi, hogy a gyakorlatban az előzetes dokumentáció (szabályzat, tájékoztató, utasítás, eljárásrend stb.) megléte a technikai eszközök munkahelyi ellenőrzésének elengedhetetlen feltétele.”  Ezen előzetes dokumentáció szükségességét támasztja alá a NAIH azon álláspontja is, miszerint „a munkáltatónak már előzetesen, a céges e-mail fiókok használatának, ellenőrzésének szabályairól szóló belső szabályzat megalkotása során meg kell határoznia azt, hogy milyen céljai, érdekei miatt kerülhet sor az e-mail fiók ellenőrzésére.”

Fentiek alapján indokolt a munkavállaló munkahelyi e-mail használatára és annak ellenőrzésére vonatkozó szabályokról a munkavállalói adatvédelmi szabályzatban rendelkezni, ideértve a munkaviszony megszűnésekor és azt követően fennálló e-mail ellenőrzésekre vonatkozó szabályokat is, hiszen gyakori eset az, hogy a munkavállaló a munkaviszonyának megszűnését követően fordult a hatósághoz a munkáltató adatvédelmi jogsértése miatt.

Források:

Az Európai Parlament és a Tanács 2016. április 27-i (EU) 2016/679 Rendelete a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről

2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról

2012. évi I. törvény a munka törvénykönyvéről

Nagykommentár a munka törvénykönyvéről szóló 2012. évi I. törvényhez

NAIH tájékoztatója a munkahelyi adatkezelések alapvető követelményeiről (2016.11.15.)

NAIH/2019/51/11 számú határozata

NAIH/2019/769 számú határozata