Ochrana osobných údajov a e-mailové kontá bývalých zamestnancov na Slovensku – Ochrana osobných údajov
Po celom svete: Ochrana osobných údajov a e-mailové účty bývalých zamestnancov na Slovensku
Ak si chcete tento článok vytlačiť, musíte byť zaregistrovaný alebo prihlásený na Mondaq.com.
Slovenská komisia pre ochranu údajov rozhodla v dvoch prípadoch, že zamestnávatelia nedeaktivovali e-mailové účty bývalých zamestnancov, pričom v oboch prípadoch bolo zistené, že zamestnávateľ porušil pravidlá ochrany osobných údajov.
Úrad na ochranu osobných údajov (ÚOOÚ) SR sa už dvakrát zaoberal otázkou prístupu zamestnávateľov k emailovej schránke bývalého zamestnanca. Prvý prípad sa týka zamestnávateľa v súkromnom sektore; Druhým je zamestnávateľ vo verejnom sektore. Aké sú dôsledky DPA a aké sú dôsledky porušení GDPR?
Prípad súkromného sektora
Tieto kroky inicioval bývalý konateľ, ktorý po splnení svojho zadania namietal, že zamestnávateľ mu nezrušil e-mailovú schránku a že je stále aktívna a monitorovaná iným konateľom v spoločnosti.
Zamestnávateľ na svoju obranu použil argument primeraným záujmom. Dôvodom, prečo e-mailové konto nebolo deaktivované, je ochrana majetku zamestnávateľa, bývalých obchodných kontaktov bývalého manažéra a dokonca na tento e-mail bolo zaslaných mnoho odpovedí a žiadostí klientov.
Argument však bol len v rovine tvrdenia, keďže zamestnávateľ nepredložil orgánu na ochranu údajov tento primeraný test týkajúci sa tohto primeraného záujmu a tým ho nepreukázal. Zamestnávateľ navyše nepreukáže, že vedúcemu zamestnancovi boli na tento účel poskytnuté relevantné informácie o procese, čím mu odopiera právo namietať proti realizácii a trvaniu procesu. To sú hlavné dôvody, pre ktoré DPA rozhodol v neprospech zamestnávateľa.
V dôvode rozsudku DPA ďalej uviedol, že právny záujem pre tento druh spracúvania by bol primeraným právnym základom, spracúvanie by sa však vykonávalo len počas nevyhnutnej doby; Desať mesiacov nemožno považovať za potrebné. Samozrejme, to platí len v prípade, ak si zamestnávateľ v priebehu procesu riadne splnil ďalšie povinnosti vyplývajúce z GDPR.
Prípad verejného sektora
Bývalý zamestnanec magistrátu si po jeho prepustení vytvoril falošný email. Tento falošný účet potom použil na odoslanie otázky na email svojej obce. Jej cieľom bolo zistiť, či tento emailový účet obec deaktivovala. Keď dostal odpoveď a dôkazy o možnom porušení GDPR, podal sťažnosť na DPA.
Magistrát uviedol, že bývalý zamestnanec riadne neodovzdal svoju agendu. Je to dôležité, keďže rieši rôznych štátnych úradníkov, úrady sociálneho zabezpečenia, zdravotné poisťovne a programy nájomného bývania. Obec je preto povinná tento emailový účet sledovať, aby sa predišlo prípadným škodám či zodpovednosti za protiprávne konanie.
Obec síce použila rozumné argumenty, no nedokázala, že si povinnosti podľa GDPR riadne splnila. DPA predovšetkým zdôrazňuje nedostatok dôkazov na preukázanom právnom základe. V dôsledku toho DPA nevyriešila ďalšie súvisiace otázky, ako napríklad povinnosť nahlasovať údaje, pomery či dĺžku spracúvania (v tomto prípade štyri mesiace po prepustení) a došlo k porušeniu GDPR v rámci práv zamestnanca.
Účinky a praktické rady
V oboch prípadoch DPA uložil pokutu vo výške 500 500 eur. V oboch prípadoch sa však porušenie týka len jedného zamestnanca a môžeme sa len domnievať, že čím väčšie porušenie, tým väčšia pokuta.
K týmto porušeniam by však nedošlo, ak by zamestnávatelia pred spracovaním položili a odpovedali na tieto jednoduché otázky:
- Zostane e-mailový účet zamestnanca po prepustení aktívny?
- Ak áno, máme pre tento proces právny základ?
- Vytvorili sme proporcionálny test na podporu nášho oprávneného záujmu?
- Boli sme informovaní o spracúvaní ďalších osobných údajov dotknutého zamestnanca?
- Spracúvame e-maily zamestnancov iba v prípade potreby? (Poznámka: Na Slovensku sa desať mesiacov považuje za viac ako „nevyhnutných“).
Obsahom tohto článku je poskytnúť všeobecný návod na danú tému. Získajte odborné rady týkajúce sa vašej konkrétnej situácie.
Populárne články: Globálne súkromie