Ochrana osobných údajov a e-mailové kontá bývalých zamestnancov na Slovensku – Ochrana osobných údajov

Úrad na ochranu osobných údajov (ÚOOÚ) SR sa už dvakrát zaoberal otázkou prístupu zamestnávateľov k emailovej schránke bývalého zamestnanca. Prvý prípad sa týka zamestnávateľa v súkromnom sektore; Druhým je zamestnávateľ vo verejnom sektore. Aké sú dôsledky DPA a aké sú dôsledky porušení GDPR?

Tieto kroky inicioval bývalý konateľ, ktorý po splnení svojho zadania namietal, že zamestnávateľ mu nezrušil e-mailovú schránku a že je stále aktívna a monitorovaná iným konateľom v spoločnosti.

Zamestnávateľ na svoju obranu použil argument primeraným záujmom. Dôvodom, prečo e-mailové konto nebolo deaktivované, je ochrana majetku zamestnávateľa, bývalých obchodných kontaktov bývalého manažéra a dokonca na tento e-mail bolo zaslaných mnoho odpovedí a žiadostí klientov.

Argument však bol len v rovine tvrdenia, keďže zamestnávateľ nepredložil orgánu na ochranu údajov tento primeraný test týkajúci sa tohto primeraného záujmu a tým ho nepreukázal. Zamestnávateľ navyše nepreukáže, že vedúcemu zamestnancovi boli na tento účel poskytnuté relevantné informácie o procese, čím mu odopiera právo namietať proti realizácii a trvaniu procesu. To sú hlavné dôvody, pre ktoré DPA rozhodol v neprospech zamestnávateľa.

V dôvode rozsudku DPA ďalej uviedol, že právny záujem pre tento druh spracúvania by bol primeraným právnym základom, spracúvanie by sa však vykonávalo len počas nevyhnutnej doby; Desať mesiacov nemožno považovať za potrebné. Samozrejme, to platí len v prípade, ak si zamestnávateľ v priebehu procesu riadne splnil ďalšie povinnosti vyplývajúce z GDPR.

Bývalý zamestnanec magistrátu si po jeho prepustení vytvoril falošný email. Tento falošný účet potom použil na odoslanie otázky na email svojej obce. Jej cieľom bolo zistiť, či tento emailový účet obec deaktivovala. Keď dostal odpoveď a dôkazy o možnom porušení GDPR, podal sťažnosť na DPA.

Magistrát uviedol, že bývalý zamestnanec riadne neodovzdal svoju agendu. Je to dôležité, keďže rieši rôznych štátnych úradníkov, úrady sociálneho zabezpečenia, zdravotné poisťovne a programy nájomného bývania. Obec je preto povinná tento emailový účet sledovať, aby sa predišlo prípadným škodám či zodpovednosti za protiprávne konanie.

Obec síce použila rozumné argumenty, no nedokázala, že si povinnosti podľa GDPR riadne splnila. DPA predovšetkým zdôrazňuje nedostatok dôkazov na preukázanom právnom základe. V dôsledku toho DPA nevyriešila ďalšie súvisiace otázky, ako napríklad povinnosť nahlasovať údaje, pomery či dĺžku spracúvania (v tomto prípade štyri mesiace po prepustení) a došlo k porušeniu GDPR v rámci práv zamestnanca.

V oboch prípadoch DPA uložil pokutu vo výške 500 500 eur. V oboch prípadoch sa však porušenie týka len jedného zamestnanca a môžeme sa len domnievať, že čím väčšie porušenie, tým väčšia pokuta.

K týmto porušeniam by však nedošlo, ak by zamestnávatelia pred spracovaním položili a odpovedali na tieto jednoduché otázky:

• Zostane e-mailový účet zamestnanca po prepustení aktívny?




• Ak áno, máme pre tento proces právny základ?




• Vytvorili sme proporcionálny test na podporu nášho oprávneného záujmu?




• Boli sme informovaní o spracúvaní ďalších osobných údajov dotknutého zamestnanca?




• Spracúvame e-maily zamestnancov iba v prípade potreby? (Poznámka: Na Slovensku sa desať mesiacov považuje za viac ako „nevyhnutných“).