Ochrana údajov a e-mailových účtov bývalých zamestnancov na Slovensku – Ochrana súkromia

Na vytlačenie tohto článku sa stačí zaregistrovať alebo prihlásiť na Mondaq.com.

Úrad na ochranu osobných údajov SR rozhodol v dvoch prípadoch, keď zamestnávatelia nedeaktivovali e-mailové kontá bývalých zamestnancov, pričom v oboch zistil, že zamestnávateľ porušil pravidlá ochrany osobných údajov.

Úrad na ochranu osobných údajov SR (ÚOOÚ) sa problematikou zachovania prístupu zamestnávateľov k e-mailovému účtu bývalého zamestnanca zaoberal už dvakrát. Prvý prípad sa týka zamestnávateľa v súkromnom sektore; Druhým je zamestnávateľ vo verejnom sektore. Aké boli závery DPA a aké boli dôsledky porušení GDPR?

Prípad súkromného sektora

Konanie začal bývalý konateľ, ktorý namietal, že zamestnávateľ mu po skončení pracovného pomeru nedeaktivoval e-mailovú schránku a je stále aktívna a sledovaná iným konateľom v rámci spoločnosti.

Zamestnávateľ na svoju obranu použil argument oprávneného záujmu. Tvrdila, že dôvodom nedeaktivácie e-mailového konta bola ochrana majetku majiteľa firmy, pretože na tento e-mail bolo zaslaných veľa zákazníckych odpovedí a dokonca žiadostí, pretože predchádzajúce obchodné kontakty bývalého manažéra.

Argument však zostal len v rovine tvrdenia, keďže zamestnávateľ nepredložil orgánu na ochranu údajov test proporcionality s ohľadom na tento oprávnený záujem, a teda ho nepreukázal. Zamestnávateľ navyše nepreukázal, že konateľovi boli na tento účel poskytnuté informácie relevantné pre spracúvanie, čím bol zbavený práva namietať spracúvanie a dĺžku spracúvania. To boli hlavné dôvody rozhodnutia DPA voči zamestnávateľovi.

V odôvodnení rozsudku DPA tiež uviedol, že vhodným právnym základom pre tento druh spracúvania môže byť oprávnený záujem, spracúvanie je však možné vykonávať len počas nevyhnutnej doby; Desať mesiacov sa nepovažuje za potrebné. To samozrejme platí len v prípade, ak si zamestnávateľ pri spracúvaní správne splnil svoje ďalšie povinnosti vyplývajúce z GDPR.

READ  Pokladňa Avataru 2 sa týči nad Hviezdnymi vojnami a vždy sedí na 4. mieste

Stav verejného sektora

Bývalá zamestnankyňa magistrátu si po odchode z práce vytvorí falošný e-mailový účet. Potom použila tento falošný účet a poslala otázku na e-mail svojej obce. Jeho cieľom bolo zistiť, či obec tento emailový účet deaktivovala. Keď mala odpoveď, a teda získala dôkazy o možnom porušení GDPR, podala sťažnosť na DPA.

Obec tvrdila, že bývalá zamestnankyňa riadne nedoručila svoj rozvrh. Bolo to významné, keďže oslovovala rôzne štátne orgány, úrady sociálneho zabezpečenia a zdravotné poisťovne a okrem iného riešila aj agendy prenájmu bytov. Obec teda musela tento e-mailový účet monitorovať, aby sa vyhla zodpovednosti za prípadné škody alebo nezákonné správanie.

Hoci samospráva použila rozumné argumenty, nepreukázala, že formálne splnila svoje povinnosti podľa všeobecného nariadenia o ochrane údajov (GDPR). Konkrétne ministerstvo politiky zdôraznilo, že neexistuje dôkaz o preukázateľnom právnom základe. V dôsledku toho sa DPA nezaoberal ďalšími relevantnými otázkami, ako je povinnosť informovať dotknutú osobu, primeranosť alebo dĺžka spracúvania (v tomto prípade štyri mesiace po skončení pracovného pomeru), a rozhodol, že boli porušené práva zamestnanca podľa GDPR.

Výsledky a poznámky z praxe

V oboch spomínaných prípadoch uložil DPA menšie pokuty vo výške 500 eur. Porušenie sa však v oboch prípadoch týkalo len jedného zamestnanca a môžeme sa len domnievať, že rozsiahlejšie porušenie bude mať za následok vyššiu pokutu.

V každom prípade by k týmto porušeniam nedošlo, ak by zamestnávatelia pred spracovaním položili a odpovedali na tieto jednoduché otázky:

  • Ponecháme zamestnancovi po skončení pracovného pomeru aktívny emailový účet?

  • Ak áno, máme právny základ pre toto spracovanie?

  • Vyvinuli sme test proporcionality na podporu nášho oprávneného záujmu?

  • Oznámili sme príslušnému zamestnancovi toto spracúvanie jeho ďalších osobných údajov?

  • Budeme email zamestnanca spracovávať len tak dlho, ako to bude nevyhnutné? (Pozn.: na Slovensku bolo desať mesiacov braných ako prekročenie toho, čo je „nevyhnutné“)

Obsah tohto článku má poskytnúť všeobecný návod na danú tému. Za takýchto okolností sa odporúča využiť rady odborníkov.

Populárne články na tému: Ochrana osobných údajov z celého sveta

Sprievodca porovnaním ochrany osobných údajov

Kobylańska Lewoszewski Mednis sp. j.

Sprievodca porovnaním ochrany osobných údajov pre poľské súdnictvo, pozrite si našu sekciu Porovnávacie dôkazy, kde nájdete porovnanie vo viacerých krajinách

Pridaj komentár

Vaša e-mailová adresa nebude zverejnená. Vyžadované polia sú označené *