Noha napjainkban nagyobb reflektorfény vetül a munkahelyen történő social media használatra és annak problémakörére, nem szabad megfeledkezni a kattintások során a céges e-mail címen keresztül lebonyolított munkavállalói magáncélú használatról, valamint annak munkáltatói ellenőrzéséről sem. Munkaeszköznek minősül a céges e-mail cím? Meddig és milyen módon ellenőrizhető a munkavállaló céges levelezése? Mi a NAIH jelenlegi gyakorlata az ilyen jellegű ellenőrzésekkel kapcsolatban? A jelen cikk a fenti kérdésekre keresi a választ és ad összefoglaló tájékoztatást a munkavállalók céges e-mail címéhez tartozó levelezés munkáltatói ellenőrzésének egyes szabályairól.
A munkavállaló e-mail fiókjának ellenőrzése
A Munka Törvénykönyvéről szóló 2012. évi I. törvény (a továbbiakban: Mt.) 11/A. § rendelkezése szabályozza a munkavállaló ellenőrzésére vonatkozó általános szabályokat, amelynek értelmében a munkavállaló kizárólagosan a munkaviszonnyal összefüggő magatartása körében ellenőrizhető, tehát a magánéletéhez fűződő magatartása kapcsán már nem. Amennyiben a két metszet összemosódna, úgy ez utóbbi magatartás kapcsán ellenőrzésre csak akkor kerülhet sor, és a munkavállaló ezen személyiségi joga csak akkor korlátozható, ha a korlátozás a munkaviszony rendeltetésével közvetlenül összefüggő okból feltétlenül szükséges és a cél elérésével arányos. Az ilyen jellegű ellenőrzés módjáról, feltételeiről és várható tartamáról, továbbá szükségességét és arányosságát alátámasztó körülményekről a munkavállalót előzetesen írásban tájékoztatni kell.
A munkahelyi e-mail fiók ellenőrzésére bizonyos konkrét szabályok szigorú betartása mellett annak céljából kerülhet sor, hogy a munkáltató például megállapíthassa az üzleti titkok megőrzésére, a gazdasági érdekeinek védelmére vonatkozó munkavállalói jogsértések, illetve a munkavállaló egyéb munkaköri kötelezettségei megszegésének tényét, szükség esetén annak tartalmát.
Munkaeszköz a céges e-mail fiók?
A munkavállaló főszabály szerint a munkáltató által a munkavégzéshez biztosított eszközt (leggyakrabban: „céges” laptop, telefon) kizárólag a munkaviszony teljesítése érdekében használhatja. A munkavállaló csak akkor használhatja magáncélra az eszközt amennyiben abban a felek külön megállapodnak.
A munkáltatók általi ellenőrzések során gyakori problémát jelent és kérdésként merül fel, hogy a fenti eszköztár részét képezi-e a munkavállaló számára a munkáltató által biztosított „céges” e-mail fiók, így annak használata során milyen szabályokra kell tekintettel lenni. A munkáltatók egy része sok esetben alapvetésként tekint arra, hogy bármikor, bárhogyan ellenőrizheti a munkavállaló e-mail fiókjának tartalmát hiszen, ha a fizikai eszközt (laptop, telefon) és a címet is a munkáltató biztosítja mi korlátozhatná őt az ellenőrzésben?
A válasz kapcsán a jogszabályi környezet és az ismert NAIH döntések[1] fényében egy sokkal árnyaltabb és szigorúbb kép körvonalazódik. A kérdés komplex megközelítését is figyelembe véve, maga az e-mail fiók is munkaeszköznek minősül, így ebben a keretben kell vizsgálni az ellenőrzésre vonatkozó adatvédelmi szabályokat is.[2]
A munkaeszközt főszabály szerint a munkáltató bocsátja rendelkezésre,[3] ettől a felek megállapodása eltérhet, az azonban nem lehet vitás kérdés, hogy a „céges” e-mailt a munkáltató bocsátja-e rendelkezésre vagy sem.
A munkahelyi e-mail-fiók adattartalma személyes adatnak, a személyes adaton elvégzett bármely művelet pedig adatkezelésnek minősül. Az adatkezelés jogszerűségének elbírálásakor annak van jelentősége, hogy az adatkezelésre az Mt. 11/A. § rendelkezésében foglaltak szerint a munkavállaló munkaviszonyával összefüggő magatartása körében került-e sor, vagy sem.
Ha a munkavállaló magánlevelezést folytat a társaság által rendelkezésre bocsátott munkaeszközön és annak rendszerében, úgy az adatkezelés célját nem a munkáltató határozza meg, hanem maga a munkavállaló. Ez azt jelenti, hogy a magáncélú használat során, tehát amikor a munkavállaló harmadik személynek küld ki levelet „céges” e-mail címéről maga is adatkezelővé válik a harmadik személyek személyes adatai tekintetében. Ez a körülmény találkozik azzal a ténnyel, hogy a céges e-mail-fiók, valamint a rendszer működtetése a munkáltató feladata és hatásköre, amely során a személyes adatokat tároló eszköz feletti rendelkezési jogát a munkáltató nem veszti el, így a magáncélú adatok tekintetében ezért adatkezelő marad.[4]
A NAIH gyakorlata a munkavállalói céges e-mail fiókot érintő ellenőrzések kapcsán
A munkajog és az adatvédelem összefonódása kapcsán, az ellenőrzésekkel összefüggésben a NAIH-nak a 2016. évi munkahelyi adatkezelések alapvető követelményeiről szóló részletes tájékoztatója[5] ad támpontokat a jó gyakorlat alkalmazásához a munkahelyi e-mailek ellenőrzése körében (is).
A NAIH eddigi és a témakört érintő döntései alapján általában azért került sor bírság kiszabására mert az adatkezeléssel, valamint az ellenőrzéssel kapcsolatban jogellenes módon a munkáltató(k) vagy egyáltalán nem tájékoztatták előzetesen a munkavállalót, vagy a tájékoztatásra, belső szabályozásra csak részlegesen, a GDPR rendelkezéseinek és a jó gyakorlat figyelmen kívül hagyásával került sor.
Mi a jó gyakorlat?
A GDPR Rendelet nem írja elő kötelezően a kifejezetten munkavállalókra vonatkozó adatvédelmi szabályzat készítését, így annak tartalmi elemeit sem szabályozza. Minden esetben tehát a munkáltatónak, mint adatkezelőnek kell mérlegelnie azt, hogy a társaság belső folyamatainak szabályozáshoz, átláthatóságához szükséges-e ilyen szabályzat vagy sem. Amennyiben legalább egy munkavállaló foglalkoztatására sor kerül az adott társaságnál, úgy álláspontom szerint javasolt és kifejezetten hasznos adatvédelmi szabályzat alkalmazása, – többek között ezt támasztja alá a NAIH 2016. évi munkahelyi adatkezelések alapvető követelményeiről szóló tájékoztatója is.
Célszerű munkavállalói adatvédelmi szabályzatban rendelkezni a munkavállaló munkahelyi e-mail használatára és annak ellenőrzésére vonatkozó szabályokról, ideértve a munkaviszony megszűnésekor és azt követően fennálló e-mail ellenőrzésekre vonatkozó szabályokat is. A NAIH által a tárgykörben kiszabott bírságok zöme ugyanis – nem meglepően – olyan eljárásokon alapult, ahol a munkavállaló a munkaviszonyának, megszűnését követően fordult a hatósághoz adatvédelmi rendelkezések jogsértése kapcsán.
A cikket Dr. Pulay Flóra, a Német Zoltán Ügyvédi Iroda partnere írta.
Ez a cikk az Üzleti kihívások & jogi megoldások rovatban jelent meg, melynek további tartalmait itt találod.
Források [1] Példa: NAIH/2019/769/számú határozata; NAIH/2020/34/3.számú határozata; NAIH-3644-9/2021. számú határozata [2] Rátkai Ildikó: A munkavállaló email- címe – a munkáltató problémája? A munkahelyi elektronikus levelezés ellenőrzésének hatósági gyakorlata. Munkajog. HVG Orac. 2020/2., 15. o. [3] Mt. 51. § (2) bekezdés b) pontja alapján [4] NAIH/2019/769. sz. határozat 11. o [5]https://www.naih.hu/files/2016_11_15_Tajekoztato_munkahelyi_adatkezelesek.pdf [letöltés dátuma: 2023.01.18].
***
Ha nem szeretnél lemaradni a további írásainkról, kövesd az Arsbonit a Facebookon. Videós tartalmainkért pedig látogass el a Youtube csatornánkra.