200.000 Ft-os GDPR bírság!
A Nemzeti Adatvédelmi és Információszabadság Hatóság határozatával 200 000 Ft összegű bírság megfizetésére kötelezett egy szervezetet, mely jogszerűtlenül tagadta meg, hogy volt munkavállalója hozzáférjen archivált magáncélú leveleihez.
A Kérelmező adatvédelmi hatósági eljárás megindítását kezdeményezte, mivel volt munkáltatójától hiába kérte, jogviszonya megszűnését követően, hogy hozzáférhessen munkahelyi email fiókjának archívumához. Ezt a szervezet megtagadta adatvédelmi okokra hivatkozva. A volt munkavállaló közalkalmazotti jogviszonya jogellenes megszüntetésének jogkövetkezményei iránt indult munkaügyi perében szerette volna felhasználni bizonyítékként a levelezések tartalmát.
A Hatóság a tényállás tisztázása során megállapította, hogy a szervezet nem szabályozta a „céges” email fiók használatát. Így annak magáncélú használata nem volt tiltott a munkavállaló számára. Ebben az esetben egy sajátos együttes adatkezelési helyzet áll elő, amely szerint a munkáltató mindenképpen adatkezelőnek minősül, hiszen az ő számára állnak rendelkezésre azon eszközök, amelyekkel a jogszerűség biztosítható. Viszont a munkavállaló, magáncélú levelei kapcsán, saját maga is adatkezelővé válik. Ezért kiemelt fontosságú, hogy a munkáltató, ilyen úgynevezett közös adatkezelés során, készítsen egy megállapodást az adatkezelés részleteiről, és tisztázza az adatkezeléssel összefüggő felelősségi viszonyok szabályait, az általános adatvédelmi rendelet 26. cikkének megfelelően.
Ennek elmaradása okán, valamint azért került sor a bírság kiszabására ebben az esetben, mivel a szervezetnek biztosítania kellett volna a Kérelmező magáncélú elektronikus leveleihez való hozzáférését munkaviszonya megszűnését követően is.
A Hatóság viszont elutasította a Kérelmező arra irányuló kérelmét, hogy a teljes archívumhoz hozzáférjen. A volt munkavállaló a korábbi munkavégzéséhez kapcsolódó levelezésekhez is szeretett volna hozzáférni. Ezek a levelek a munkáltató üzleti titkait is érintik, de mivel jogviszonya megszűnését követően már nem állapítható meg olyan jogszerű cél vagy érdek, amely alapján munkavégzéssel összefüggő adatokat, információkat tartalmazó leveleihez továbbra is hozzáférjen, ezért erre nem jogosult.
A fenti jogeset is rávilágít arra, mennyire fontos egy szervezet adatkezelése során tiszta és egyértelmű adatkezelési szabályokat lefektetni, hogy a hasonló incidensek elkerülhetők legyenek.
Feleljen meg a GDPR-nek! Kérje árajánlatunkat a DPO tisztség betöltésére, céges GDPR adatvédelmi auditra, az adatkezelési tájékoztató, a GDPR adatvédelmi szabályzat elkészítésére a [email protected], vagy az Ajánlatkérő űrlapunkon! Net-jog.hu: IT ügyvédek sokéves tapasztalattal, milliós bírsággaranciával.