Nie tak dávno EDPB (07/21) informoval o tom, že nórsky úrad na ochranu osobných údajov uložil zamestnávateľovi pokutu za nevymazanie e-mailového konta zamestnanca po skončení pracovného pomeru vo výške 15.000,- EUR. Zamestnávateľ do tohto e-mailového konta aj nahliadal.
Pozreli sme sa preto na to, ako v podobných veciach rozhodoval náš Úrad na ochranu osobných údajov SR (ÚOOÚ). V oboch konaniach, ktoré v tomto článku používame za príklad ÚOOÚ zamestnávateľovi v prvostupňovom konaní uložil pokutu vo výške 500,- EUR.
1. Nevymazanie e-mailového konta manažéra spoločnosti
ÚOOÚ v konaní č. 00250/2020-Os-3 začal konať na základe podnetu bývalého zamestnanca, ktorý namietal, že zamestnávateľ po skončení pracovného pomeru nezrušil jeho e-mail a že tento je naďalej aktívny a monitorovaný manažérkou prevádzky.
Zamestnávateľ na svoju obranu použil argumentáciu oprávneného záujmu. Tvrdil, že nezrušením e-mailu manažéra chránil svoj majetok, nakoľko bolo rozpracovaných niekoľko obchodných vzťahov a na e-mail klienti zasielali odpovede a ponuky. Argumentácia ostala len v rovine tvrdení a zamestnávateľ ÚOOÚ nepredložil ani test proporcionality (t.j. posúdenie koho právo je silnejšie) a ani dôkaz o splnení si informačnej povinnosti voči zamestnancovi.
ÚOOÚ v prvom stupni zistil porušenie zásady zákonnosti a zamestnávateľovi uložil pokutu 500,- EUR. Zamestnávateľ vo veci podal rozklad (č.k.00266/2020-Op-4). Podpredsedníčka ÚOOÚ z dôvodu nedostatočného odôvodnenia rozhodnutie prvého stupňa zrušila a vrátila na nové prejednanie a rozhodnutie (§ 59 (3) SP). Vyjadrila sa však aj k možnosti spracúvať e-mail zamestnanca po skončení pracovného vzťahu:
„Prevádzkovateľ (pozn. zamestnávateľ) v konaní nijako nepreukázal oprávnený záujem, zároveň tiež nepreukázal, že by si bol splnil informačnú povinnosť vo vzťahu k navrhovateľovi (pozn. zamestnancovi), čím prevádzkovateľ odoprel navrhovateľovi právo jednak namietať samotné spracúvanie jeho e-mailovej adresy aj po skončení pracovnoprávneho vzťahu u prevádzkovateľa, a taktiež aj následnú dĺžku spracúvania jeho osobných údajov. (...) Podpredsedníčka úradu totiž nerozporuje skutočnosť, že za určitých okolností môže zamestnávateľ spracúvať e-mailovú adresu zamestnanca aj po skončení pracovného pomeru práve za účelom zachovania komunikácie a kontaktov, avšak mal by tak postupovať iba na nevyhnutnú dobu (pozn. 10 mesiacov nie je doba nevyhnutná), za preukázania aspoň jednej podmienky podľa čl. 6 Nariadenia, a za predpokladu plnenia ďalších povinností podľa Nariadenia. (...)“
2. Nevymazanie e-mailového konta zamestnanca obce
Aj v tomto konaní (č.k. 00009/2020-Os-11) sa ÚOOÚ touto otázkou zaoberal na základe podnetu dotknutého bývalého zamestnanca. ÚOOÚ na základe vykonaného dokazovania uzavrel, že obci na spracúvanie e-mailu bývalého zamestnanca chýbal právny základ, čím došlo k porušeniu zásady zákonnosti a uložil jej pokutu vo výške 500,- EUR. Informáciu o právoplatnosti tohto rozhodnutia k dispozícii nemáme.
Záverom, samotná sankcia za takéto porušenie GDPR na Slovensku sa v prípade jediného pochybenia javí byť relatívne nízka, avšak začaté konanie je okrem uloženej pokuty sprevádzané dodatočnými nákladmi (právne zastúpenie) a stratou času. Za zváženie preto v rámci prevencie stojí skontrolovať:
- či takéto e-maily vôbec spracúvate/spracúvať v budúcnosti môžete a ak áno tak:
- či na preukázanie oprávneného záujmu máte vypracovaný test proporcionality;
- či ste zamestnanca informovali o tom, že po skončení PP budete jeho osobné údaje ďalej spracúvať;
- či osobné údaje po skončení PP nespracúvate neprimerane dlho.
Správu EDPB ohľadom pokuty uloženej nórskym úradom nájdete tu.
Rozhodnutia ÚOOÚ sme získali na základe infožiadosti.