Az e-mail használat a munkahelyen és a GDPR!
2020. február 17.
A legtöbb szervezet a mindennapi munka során az üzleti kapcsolattartásra elektronikus levelezést használ és ennek érdekében a munkatársak számára céges domain alatt postafiókot hoz létre.
Amíg a munkavállaló a szervezetnél dolgozik az egyedi e-mail cím összeköthető a munkavállalóval és így meghatároz egy természetes személyt, ennek következtében személyes adatnak kell tekinteni.
A GDPR előtt is sokszor előkerült információbiztonsági szempontból az e-mail-ek kezelése. Kié az e-mail?
Jelenleg a Munka törvénykönyve szerint a munkáltató által a munkavégzéshez adott eszközöket csak a munkához lehet használni, hacsak a munkáltató máshogy nem rendelkezik. Ebbe a körbe tartozik az e-mail cím is.
Nem javasoljuk a munkáltatók számára engedményeket tegyenek – mondta Sándor Zsolt András a Gill & Murry Adatvédelmi szakértő – mert rengeteg problémát vesz a nyakába az a munkáltató, amely engedélyezi a munkavállalói számára, hogy más célra is használhatják e-mail címüket.
Ha megengedjük a munkavállaók számára, hogy például webes vásárlásra, családi kommunikációra használják a cég által biztosított e-mail címet, akkor a postafiókba olyan személyes adatok kerülhetnek, amelyeknek az adatkezelője nem a cég lesz, így minimálisan is vitatható lesz ezen e-mail címek és egyéb személyes adatok kezelése. Nem lesz egyértelmű, hogy a cég részéről ki és mikor férhet hozzá a munkavállaló postafiókjához és benne a személyes adatokhoz.
Ebben az esetben problémát fog okozni a helyettesítés megszervezése, a postafiókba történő betekintés, illetve a postafiók archiválása.
Mindenképpen érdemes tehát szabályozni, hogy pontosan mire, mikor és hol lehet használni a céges e-mail címet. Kinek és miért lehet kiadni. Érdemes rögzíteni, hogy a cég kit tekint potenciális ügyfelének, akinek a partner kapcsolattartók kiadhatják az e-mail címet. Tisztázandó és szabályozandó továbbá, hogy a munkavállaló beállíthatja-e az e-mail fiókját saját tulajdonú mobiltelefonján, notebookján, és ha igen akkor milyen feltételekkel.
A munkavállaló által használt mobiltelefonon – függetlenül attól, hogy saját vagy céges tulajdonú – beállíthatja-e a saját iCloud, Samsung, Gmail, stb... profilját a céges postafiók mellett és a céges kapcsolattartási adatokat felszinkronizálhatja-e a felhőbe.
A felsoroltakon kívül számos levelezési terület lehet még, melyet cégenként érdemes rögzíteni és szabályozni mivel a NAIH több előadásában is jelezte már, hogy egy esetleges incidens esetén vizsgálja az e-mail használat szabályozottságát – tette hozzá Sándor Zsolt András a Gill and Murry Adatvédelmi szakértője.
Kapcsolódó cikkek
- GDPR: egyre több a bírság, de még mindig kevés a felkészült szervezet
- Úton a GDPR tanúsítvány felé? – Új adatvédelmi ISO szabvány
- Hetek alatt maga alá temethet egy vállalkozást a GDPR-érzékeny fájlok kezelése
- Év végi összefoglaló: 30 határozat, ebből 19 büntetés
- Mi fel vagyunk készülve a GDPR-ra – avagy a tévedések vígjátéka
- Új vezető a Baker McKenzie adatvédelmi jogi csapatának élén
- Mit tanuljunk mások hibáiból – avagy a GDPR büntetés tanulságai
- Nemcsak a kibertámadások, hanem a GDPR bírságok is elkerülhetők a sandboxing megoldással
- A GDPR nem gyerekjáték: egyre fontosabb a sandboxing technológia
- Az alvállalkozó megfelelése, avagy a megrendelő ellenőrzi információbiztonsági szintjét!