Deaktivovať či nedeaktivovať – správny postup disponovania s e-mailovou schránkou (bývalého) zamestnanca

Z hľadiska pracovného práva dňom skončenia pracovného pomeru skončí akákoľvek pracovná činnosť zamestnanca, ktorú pre zamestnávateľa vykonával. Skončenie pracovného pomeru však nepredstavuje informáciu, ktorou nevyhnutne disponujú odosielatelia e-mailovej komunikácie adresovanej už bývalému zamestnancovi. Zamestnávateľ častokrát automaticky „nevypne“ e-mailovú schránku zamestnanca v deň nasledujúci po skončení pracovného pomeru a ani v nasledujúcom dlhšom časovom období. Pracovná e-mailová schránka bývalého zamestnanca tým pádom ostáva aktívna ešte niekoľko mesiacov po skončení pracovného pomeru.

Dôvodov nedeaktivácie e-mailovej schránky bývalého zamestnanca môže byť niekoľko. Najčastejšie ide o nevedomosť zo strany zamestnávateľa, inokedy môže byť tento postup odôvodnený pracovnou pozíciou zamestnanca a potrebou sledovať prípadné dôležité e-maily týkajúce sa chodu spoločnosti. Bez ohľadu na dôvod nedeaktivácie e-mailovej schránky, takáto e-mailová schránka je stále aktívna a naďalej prijímajúca e-mailovú komunikáciu bez časového ohraničenia alebo dlhší čas po skončení pracovného pomeru. Pod nedeaktiváciu spadá aj nastavenie presmerovania prichádzajúcich e-mailov na inú e-mailovú adresu alebo nastavenie automatickej odpovede o neprítomnosti zamestnanca, resp. o ukončení jeho pracovného pomeru. Takýto postup zamestnávateľa v nedeaktivovaní e-mailovej schránky bývalého zamestnanca však nie je v súlade s pracovným právom a ani predpismi na ochranu osobných údajov.

Predstavuje e-mailová adresa zamestnanca osobný údaj? Aký postup by mal zamestnávateľ zvoliť, aby nečelil možnej sankcii najmä zo strany Úradu pre ochranu osobných údajov SR? Aké sankcie v obdobných veciach už boli uložené v Slovenskej republike a v iných európskych krajinách? Odpovede na tieto otázky a ďalšie praktické informácie sa nachádzajú nižšie v tomto článku.

E-mailová adresa zamestnanca ako osobný údaj

Na úvod je potrebné zdôrazniť, že e-mailová adresa zamestnanca sa podľa súdnej praxe [1] považuje za osobný údaj, ak spĺňa definíciu osobného údaja vymedzenú v čl. 4 ods. 1 nariadenia Európskeho parlamentu a Rady 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (ďalej len „GDPR“). Osobnými údajmi sú údaje týkajúce sa určenej alebo určiteľnej fyzickej osoby, pričom takou osobou je osoba, ktorú možno určiť priamo alebo nepriamo, najmä na základe všeobecne použiteľného identifikátora alebo na základe jednej či viacerých charakteristík alebo znakov, ktoré tvoria jej fyzickú, fyziologickú, psychickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu.

Ak je z e-mailovej adresy možné nezameniteľne identifikovať konkrétnu osobu (napr. jozef.mrkvicka@minv.gov.sk), z takejto e-mailovej adresy možno identifikovať osobu „meno priezvisko“ (Jozef Mrkvička) a aj zamestnávateľa, t. j. informáciu, kde osoba pracuje „skratka úradu, obchodnej spoločnosti a pod“ (Ministerstvo vnútra SR), preto je takýto údaj možné považovať za osobný údaj.

Rozhodovacia prax v Slovenskej republike

Úrad na ochranu osobných údajov SR (ďalej len „Úrad“) sa vo viacerých prípadoch zaoberal problematikou disponovania  e-mailovou schránkou zamestnanca po skončení pracovného pomeru. V jednom prípade sa však Úrad zaoberal spracúvaním osobných údajov v súvislosti s pracovnou e-mailovou schránkou zamestnankyne, ktorá bola dlhodobo práceneschopná, a teda pracovný pomer stále trval. Aj pre tieto prípady platia určené pravidlá a zamestnávateľ sa môže počas dlhodobej práceneschopnosti zamestnanca dopustiť v súvislosti s e-mailovou schránkou nezákonného spracúvania osobných údajov.

1. Podľa rozhodnutia Úradu č.: 00009/2020-Os-11 zo dňa 17. 3. 2020 obec ako zamestnávateľ nepreukázala zákonnosť spracúvania osobných údajov zamestnankyne po skončení pracovného pomeru. Úrad konštatoval, že obec spracúvala osobné údaje bývalej zamestnankyne bez právneho základu podľa čl. 6 ods. 1 GDPR. Starosta obce používal a sledoval e-mailovú schránku bývalej zamestnankyne 4 mesiace po skončení pracovného pomeru. Prevádzkovateľ nepreukázal, že v období od skončenia pracovného pomeru do dňa vykonania kontroly disponoval právnym základom na spracúvanie osobného údaja navrhovateľky v rozsahu pracovnej e-mailovej adresy. Obec nakoniec zrušila predmetnú e-mailovú schránku, a z tohto dôvodu udelil Úrad obci pokutu iba vo výške 500 eur.
2. Podľa rozhodnutia Úradu č.: 00210/2021-Os-6 zo dňa 24. 2. 2021 prevádzkovateľ nepreukázal primeraný právny základ spracúvania pracovnej e-mailovej adresy zamestnanca po skončení pracovného pomeru, keďže pracovnú e-mailovú adresu deaktivoval až po 10 mesiacov po skončení pracovného pomeru. Prevádzkovateľovi bola uložená pokuta vo výške 500 eur. Prevádzkovateľ sa v konaní bránil tým, že e-mailová schránka bola po ukončení pracovného pomeru ponechaná aktívna z dôvodu, že dotknutá osoba pôsobila ako manažér prevádzky a mala rozpracovaných viacero obchodných ponúk prostredníctvom daného e-mailu. Prevádzkovateľ nastavil automatické preposielanie e-mailov z e-mailovej schránky bývalého zamestnanca na e-mail nového manažéra. Prevádzkovateľ neodôvodnil spracúvanie osobných údajov zamestnanca prostredníctvom balančného testu (testu proporcionality). Z predmetného rozhodnutia, ktoré bolo vydané po zrušení prvého prvostupňového rozhodnutia na základe podaného rozkladu, vyplýva, že za určitých okolností (najmä z dôvodu zachovania komunikácie a kontaktov), môže prevádzkovateľ e-mailovú adresu zamestnanca spracúvať aj po skončení pracovného pomeru. Prevádzkovateľ však musí disponovať právnym základom podľa čl. 6 ods. 1 GDPR a zároveň je povinný odôvodniť dĺžku spracúvania prostredníctvom testu proporcionality, ak aplikuje ako právny základ oprávnený záujem, a to ešte pred samotným začatím spracúvania údajov.
3. Podľa rozhodnutia Úradu č.: 00243/2020-Os-4 zo dňa 17. 9. 2020 zamestnávateľ ako prevádzkovateľ spracúval osobné údaje dotknutej osoby v rozsahu meno a priezvisko, ktoré boli súčasťou automatickej e-mailovej odpovede, nezákonne. Prevádzkovateľ požiadal zamestnankyňu, aby si počas svojej práceneschopnosti nastavila automatické odpovede z dôvodu zabezpečenia efektívneho fungovania organizácie (verejná vysoká škola), čo zamestnankyňa urobiť odmietla a prevádzkovateľ nastavil automatické odpovede e-mailov vrátane oznamu o neprítomnosti zamestnankyne z dôvodu jej práceneschopnosti bez jej súhlasu. Úrad konštatoval, že zamestnávateľ je síce oprávnený poskytnúť alebo zverejniť určité osobné údaje zamestnanca podľa § 78 ods. 3 zákona č. 18/2018 Z. z. o ochrane osobných údajov v platnom znení vrátane mena a priezviska, avšak iba, ak je to potrebné v súvislosti s plnením jeho pracovných povinností. Obsah automatickej odpovede, v ktorej boli uvedené osobné údaje zamestnankyne, nemal súvislosť s plnením pracovných úloh. Nezákonnosť spracúvania v tomto prípade spočívala v tom, že zamestnávateľ bez vedomia a súhlasu zamestnankyne zverejnil jej meno a priezvisko na účely falošnej autorizácie textu, ktorého zamestnankyňa nebola pôvodcom, a text nevyjadroval jej vôľu a záujem na takéto využitie jej osobných údajov, t. j. absentoval právny základ spracúvania podľa GDPR, ktorým mal byť podľa Úradu v tomto prípade súhlas. Nad rámec uvedeného je povšimnutiahodné, že Úrad sa nezaoberal možným zverejneným osobitnej kategórie osobného údaju o zdravotnom stave zamestnankyne zo strany zamestnávateľa, a to o práceneschopnosti zamestnankyne. Úrad prevádzkovateľa napomenul a neuložil mu žiadnu pokutu, keďže prevádzkovateľ vyhovel žiadosti dotknutej osoby o vymazanie predmetných osobných údajov.

Rozhodovacia činnosť v iných európskych krajinách

Belgický úrad na ochranu údajov (Gegevensbeschermingsautoriteit) v rozhodnutí zo dňa 5. 1. 2024 konštatoval[2], že na dodržanie zásady obmedzenia účelu v spojení so zásadami minimalizácie údajov a obmedzenia uchovávania mal prevádzkovateľ zabezpečiť e-mailovú schránku dotknutej osoby s automatickým oznámením najneskôr v posledný deň pracovného pomeru a mal dotknutú osobu o tomto postupe vopred informovať. Zároveň prevádzkovateľ žiadnym spôsobom nezareagoval na žiadosť dotknutej osoby na poskytnutie prístupu k údajom, ktoré prevádzkovateľ spracúva.

Belgický úrad ďalej uviedol, že táto automatická odpoveď upozorňuje všetkých následných odosielateľov e-mailových správ adresovaných dotknutej osobe, že dotknutá osoba už nevykonáva svoje činnosti v rámci prevádzkovateľa a automatická odpoveď by mala byť nastavená iba počas primeraného obdobia, v zásade 1 mesiac, prípadne na dlhšie obdobie v závislosti od kontextu a miery zodpovednosti, ktorú zamestnanec vykonáva, avšak nie dlhšie ako 3 mesiace.

Pokiaľ ide o právny základ, orgán na ochranu údajov uznal, že právnym základom tejto činnosti spracúvania by mohol byť oprávnený záujem prevádzkovateľa na zabezpečenie riadneho fungovania spoločnosti podľa čl. 6 ods. 1 písm. f) GDPR. Orgán na ochranu údajov však poznamenal, že neexistujú dôkazy preukazujúce, že prevádzkovateľ informoval dotknutú osobu o platnom právnom základe. V dôsledku toho možno konštatovať, že prevádzkovateľ spracúval osobné údaje dotknutej osoby v rozpore s jej očakávaniami. Dozorný orgán teda zistil, že na spracúvanie e-mailovej adresy po ukončení zmluvy medzi dotknutou osobou a prevádzkovateľom sa nevzťahuje žiadny právny základ. Prevádzkovateľ tak porušil článok 6 ods. 1 GDPR. Za včasné nezrušenie pracovnej e-mailovej schránky vydal príslušný dozorný orgán prevádzkovateľovi upozornenie.

Pokiaľ ide o žiadosť dotknutej osoby o prístup k údajom spracúvaným prevádzkovateľom, dozorný orgán rozhodol, že prevádzkovateľ porušil právo dotknutej osoby na prístup, keďže neexistuje žiadny dôkaz o tom, že prevádzkovateľ vôbec odpovedal, čím porušil čl. 15 ods. 1 GDPR v spojení s čl. 12 ods. 3 a 4 GDPR. Preto orgán na ochranu údajov nariadil prevádzkovateľovi, aby do 30 dní od vydania rozhodnutia vyhovel žiadosti dotknutej osoby.

V ďalšom rozhodnutí[3] z tohto roka Belgický úrad na ochranu osobných údajov konštatoval, že prevádzkovateľ sa nezrušením e-mailovej schránky bývalej zamestnankyne v lehote 1 mesiaca od skončenia pracovného pomeru dopustil porušenia ustanovení GDPR. Bývalá zamestnankyňa namietala, že po deaktivácii jej prístupu do jej pracovnej e-mailovej schránky bola schránka sprístupnená jej nadriadenému. Dozorný orgán uviedol, že DPA uviedol, že pracovná e-mailová schránka môže zostať aktívna počas určitého obdobia po skončení pracovného pomeru dotknutej osoby, pokiaľ sa obmedzí na automatické odosielanie štandardnej komunikácie týkajúcej sa odchodu dotknutej osoby na účely zabezpečenia riadneho fungovania spoločnosti. Tento postup zamestnávateľa však musí byť v súlade s GDPR. Konkrétne v tomto prípade sa dozorný orgán domnieval, že prevádzkovateľ neprijal technické a organizačné opatrenia na zabezpečenie súladu s GDPR, keďže neexistovala transparentná politika zamestnávateľa týkajúca sa postupu disponovania s e-mailovou schránkou bývalých zamestnancov (kto a za akých okolností má prístup, lehota na zrušenie e-mailovej schránky a pod).

Vzhľadom na štádium uvedených administratívnych konaní, zatiaľ nie je ani v jednom prípade známa výška pokuty.

Taliansky úrad na ochranu osobných údajov (Garante per la protezione dei dati personali) uložil prevádzkovateľovi pokutu vo výške 15 000 eur z dôvodu nevymazania e-mailového konta zamestnanca na základe jeho žiadosti po skončení pracovného pomeru[4]. Podľa talianskeho úradu by mal prevádzkovateľ v záujme dodržiavania zásad nevyhnutnosti a minimalizácie po skončení pracovného pomeru deaktivovať e-mailové konto zamestnanca a informovať dotknuté tretie strany o alternatívnych spôsoboch kontaktu. Taliansky úrad prevádzkovateľovi vyčítal okrem iného aj to, že na žiadosť zamestnanca o obmedzenie spracúvania vôbec nereagoval, t. j. nevybavil ju ako žiadosť podľa čl. 12 ods. 4 GDPR.

Správny postup zamestnávateľa po skončení pracovného pomeru

Zamestnávateľ za určitých okolností môže spracúvať e-mail zamestnanca aj po skončení pracovného pomeru, prípadne počas neprítomnosti v práci (dovolenka, PN, materská, otcovská alebo rodičovská dovolenka, iná prekážka v práci), avšak iba po splnení jednotlivých podmienok vyplývajúcich zo zákona a z rozhodovacej praxe dozorných orgánov. Najpodstatnejšou informáciou pre zamestnávateľa je, že je povinný informovať zamestnancov o postupoch disponovania s ich pracovnou e-mailovou schránkou po skončení pracovného pomeru alebo počas ich dlhšej neprítomnosti vopred.

Zamestnávateľ by mal najmä prijať a zverejniť nasledujúce dokumenty:

Interná smernica

Zamestnávateľ by mal v prvom rade prijať internú smernicu, v rámci ktorej sa jasne, zrozumiteľne a transparentne určia pravidlá používania pracovného e-mailu zamestnancami. Interná smernica by mala obsahovať najmä:

• pravidlá používania pracovného e-mailu a ostatných IT zariadení iba na pracovné účely súvisiace s plnením pracovných úloh, prípadné výnimky pre používanie na súkromné účely;
• zodpovednosť za administráciu e-mailových schránok – určenie osôb, ktoré rozhodujú o vytvorení e-mailových schránok, o zrušení, spôsobe kontroly dodržiavania pravidiel používania e-mailov;
• vymedzenie situácií, kedy môže zamestnávateľ, resp. určená osoba vstúpiť do e-mailovej schránky zamestnanca (napr. počet dní neprítomnosti v práci, skončenie pracovného pomeru a pod.) – možný monitoring zamestnancov, preto je potrebné dodržať povinnosti podľa § 13 ods. 4 Zákonníka práce (informovať vopred; prerokovať so zástupcami zamestnancov, ak pôsobia u zamestnávateľa; prijať opatrenia);
• postup disponovania s e-mailovou schránkou po skončení pracovného pomeru a/alebo počas dlhšej neprítomnosti zamestnanca – nastavenie automatickej odpovede s uvedeným kontaktnej osoby a určenie osôb, ktoré sú oprávnené na prístup do e-mailovej schránky (napr. IT oddelenie);
• lehota zachovania e-mailovej schránky (1-3 mesiace) vrátane odôvodnenia určenej lehoty a následná deaktivácia e-mailovej schránky po uplynutí tejto lehoty.

Informácia o spracúvaní osobných údajov

Okrem pracovnoprávneho aspektu spočívajúceho v prijatí internej smernice je nevyhnutné, aby zamestnávatelia informovali svojich zamestnancov o spracúvaní ich osobných údajov týkajúcich sa pracovnej e-mailovej schránky najneskôr pri ich získavaní.

Spracúvanie osobných údajov musí byť zákonné a odôvodnené. Zamestnávateľ je povinný zamestnancov informovať o (i) právnom základe spracúvania, (ii) účele spracúvania, (iii) dobe uchovávania údajov, (iv) právach zamestnancov vo vzťahu k spracúvaniu ich osobných údajov a ďalších údajoch uvedených v čl. 13 a 14 GDPR.

Určenie právneho základu vychádza z účelu a rozsahu spracúvania osobných údajov. Ak si zamestnávateľ určí ako právny základ prístupu do e-mailovej schránky zamestnanca po skončení pracovného pomeru oprávnený záujem [čl. 6 ods. 1 písm. f) GDPR], je potrebné pred samotným spracúvaním vykonať tzv. test proporcionality, z ktorého bude zrejmé, či je takéto spracúvanie osobných údajov zákonné. Ak si zamestnávateľ určí ako právny základ súhlas zamestnanca, je povinný zamestnanca informovať o možnosti tento svoj súhlas kedykoľvek odvolať. Týmto právnym základom sa zamestnávateľ vystavuje riziku, že mu zamestnanec súhlas neposkytne alebo ho odvolá.

Záver

Prax zamestnávateľov týkajúca sa prístupu a disponovania s pracovnou e-mailovou schránkou zamestnancov počas alebo po skončení pracovného pomeru nespĺňa vo väčšine prípadov podmienky ustanovené zákonom a rozhodovacou praxou príslušných orgánov. Zamestnávatelia sa tak vystavujú riziku finančných pokút, pričom preventívne opatrenia spočívajú v jednoduchých krokoch – prijatie internej dokumentácie predstavujúcej transparentné informovanie zamestnancov o pravidlách disponovania zamestnávateľa s ich pracovnou e-mailovou schránkou vopred.