Úrad na ochranu osobných údajov SR (ÚOOÚ) sa problematikou zachovania prístupu zamestnávateľov k e-mailovému účtu bývalého zamestnanca zaoberal už dvakrát. Prvý prípad sa týka zamestnávateľa v súkromnom sektore; Druhým je zamestnávateľ vo verejnom sektore. Aké boli závery DPA a aké boli dôsledky porušení GDPR?

Konanie začal bývalý konateľ, ktorý namietal, že zamestnávateľ mu po skončení pracovného pomeru nedeaktivoval e-mailovú schránku a je stále aktívna a sledovaná iným konateľom v rámci spoločnosti.

Zamestnávateľ na svoju obranu použil argument oprávneného záujmu. Tvrdila, že dôvodom nedeaktivácie e-mailového konta bola ochrana majetku majiteľa firmy, pretože na tento e-mail bolo zaslaných veľa zákazníckych odpovedí a dokonca žiadostí, pretože predchádzajúce obchodné kontakty bývalého manažéra.

Argument však zostal len v rovine tvrdenia, keďže zamestnávateľ nepredložil orgánu na ochranu údajov test proporcionality s ohľadom na tento oprávnený záujem, a teda ho nepreukázal. Zamestnávateľ navyše nepreukázal, že konateľovi boli na tento účel poskytnuté informácie relevantné pre spracúvanie, čím bol zbavený práva namietať spracúvanie a dĺžku spracúvania. To boli hlavné dôvody rozhodnutia DPA voči zamestnávateľovi.

V odôvodnení rozsudku DPA tiež uviedol, že vhodným právnym základom pre tento druh spracúvania môže byť oprávnený záujem, spracúvanie je však možné vykonávať len počas nevyhnutnej doby; Desať mesiacov sa nepovažuje za potrebné. To samozrejme platí len v prípade, ak si zamestnávateľ pri spracúvaní správne splnil svoje ďalšie povinnosti vyplývajúce z GDPR.

Bývalá zamestnankyňa magistrátu si po odchode z práce vytvorí falošný e-mailový účet. Potom použila tento falošný účet a poslala otázku na e-mail svojej obce. Jeho cieľom bolo zistiť, či obec tento emailový účet deaktivovala. Keď mala odpoveď, a teda získala dôkazy o možnom porušení GDPR, podala sťažnosť na DPA.

Obec tvrdila, že bývalá zamestnankyňa riadne nedoručila svoj rozvrh. Bolo to významné, keďže oslovovala rôzne štátne orgány, úrady sociálneho zabezpečenia a zdravotné poisťovne a okrem iného riešila aj agendy prenájmu bytov. Obec teda musela tento e-mailový účet monitorovať, aby sa vyhla zodpovednosti za prípadné škody alebo nezákonné správanie.

Hoci samospráva použila rozumné argumenty, nepreukázala, že formálne splnila svoje povinnosti podľa všeobecného nariadenia o ochrane údajov (GDPR). Konkrétne ministerstvo politiky zdôraznilo, že neexistuje dôkaz o preukázateľnom právnom základe. V dôsledku toho sa DPA nezaoberal ďalšími relevantnými otázkami, ako je povinnosť informovať dotknutú osobu, primeranosť alebo dĺžka spracúvania (v tomto prípade štyri mesiace po skončení pracovného pomeru), a rozhodol, že boli porušené práva zamestnanca podľa GDPR.

V oboch spomínaných prípadoch uložil DPA menšie pokuty vo výške 500 eur. Porušenie sa však v oboch prípadoch týkalo len jedného zamestnanca a môžeme sa len domnievať, že rozsiahlejšie porušenie bude mať za následok vyššiu pokutu.

V každom prípade by k týmto porušeniam nedošlo, ak by zamestnávatelia pred spracovaním položili a odpovedali na tieto jednoduché otázky:

• Ponecháme zamestnancovi po skončení pracovného pomeru aktívny emailový účet?




• Ak áno, máme právny základ pre toto spracovanie?




• Vyvinuli sme test proporcionality na podporu nášho oprávneného záujmu?




• Oznámili sme príslušnému zamestnancovi toto spracúvanie jeho ďalších osobných údajov?




• Budeme email zamestnanca spracovávať len tak dlho, ako to bude nevyhnutné? (Pozn.: na Slovensku bolo desať mesiacov braných ako prekročenie toho, čo je „nevyhnutné“)