GDPR: a céges email cím is személyes adat
Ha valaki egyértelműen azonosítható, akkor az már személyes adatnak számít, ezért a névre szóló céges email címek is. A postafiókok kezelésében viszont nem hoz újdonságot a GDPR a korábbi hazai szabályozáshoz képest.
Újabb információkat jelentetett meg az Európai Bizottság május 25-től alkalmazásba lépő általános adatvédelmi rendeletről (GDPR), ezen belül is például arról, hogy mi tekinthető személyes adatoknak. Az egyértelmű elemeken kívül, úgy mint a név, lakcím vagy személyazonosító igazolvány, a felsorolásban szerepelnek a mobilok helymeghatározó adatai, az IP-cím, a cookie-azonosító, valamint a munkavállalók vezetéknév.utónév@vállalkozás.com típusú céges email-címe is, ami túlmutathat azon, amit eddig a rendelet hatályáról gondoltunk. A leírás szerint csak az info@vállalkozás.com típusú címek képeznek kivételt a személyes adatok alól a jövőben.
"Ha tehát valaki hírlevelet akar küldeni, vagy kéretlenül ajánlatot, eDM-et, és ezt csak a cég/office/sales/info/central @company.hu email-címre küldi, akkor ehhez nem kell előzetesen hozzájárulást kérnie. Ha viszont például az én névre szóló email-címemre küldi azt, akkor már kell a hozzájárulás. Továbbá ha egy cég úgy küld ajánlatot személyre szóló email-címre, hogy azt kérték tőle - tehát valaki ilyen címről érdeklődött -, akkor az nem eDM, hanem szerződéskötés érdekében történő eljárás, amely egy külön jogalap az adatkezelésre a GDPR-ben." - magyarázta kérdésünkre dr. Horváth Katalin, a Sár és Társai Ügyvédi Iroda adatvédelemmel foglalkozó partner ügyvédje.
Személyes adatnak ugyanis az olyan információ számít, amely egy azonosítható élő személlyel kapcsolatos vagy éppen az információk összegyűjtése egy bizonyos személy azonosításához vezethet. Ebbe a körbe tartoznak a titkosított vagy álnevesített személyes adatok is, amelyek felhasználhatóak egy személy újraazonosítására. Egyedül az nem képezi a kör részét, amelyet úgy anonimizáltak, hogy az érintett már többé nem azonosítható az alapján, tehát "az anonimizálásnak visszafordíthatatlannak kell lennie" - írja a közlemény. A jellemzően saját neveket használó céges email-címek viszont alapvetően nem álnevesítettek és nem is anonimizáltak, vagyis segítségükkel egyértelműen azonosíthatók a munkavállalók.
Égbe révedő informatikusok: az Időkép-sztori Mi fán terem az előrejelzés, hogy milyen infrastruktúra dolgozik az Időkép alatt, mi várható a deep learning modellek térnyerésével?
A GDPR az adatokat az adatok kezelése során használt technológiától függetlenül védi (technológiasemleges), így egyaránt vonatkozik automatizált és manuális kezelésre akár papíron vagy IT-rendszerben. Kezelés alatt érthető akár gyűjtés, rögzítés, rendszerezés, tárolás, lekérdezés vagy terjesztés - ezek a személyes adatokon csak a rendelet betartásával valósíthatók meg. Konkrét példaként említhető a névjegyadatbázishoz való hozzáférés, az email-címek és személyről készült fotók megjelentetése egy weboldalon, vagy éppen a fenti példában említett ajánlatküldés egy névre szóló hivatalos email-címre, melyekhez egyaránt az azonosítható személy hozzájárulása szükséges.
Tehát a céges email-címekre, mint ahogy más személyes adatokra is vonatkoznak az adatkezelés elvei. Azaz a kezelésükről a munkáltatónak előzetesen részletes tájékoztatást kell adni, illetve a munkavállaló kérésére külön is tájékoztatni kell az adatkezelésről, továbbá a munkavállaló tiltakozhat az adat kezelésével szemben vagy kérheti azok törlését.
Mi a helyzet a fiókokkal?
Továbbra sem minősül személyes adatnak a céges email-fiókoknak az a része, ami céges célú levelezés. Viszont gyakori probléma, hogy a levelezőrendszert a munkavállalók gyakran személyes céljaikra is használják. "Ha a munkavállaló a céges e-mail címét személyes magánlevelezésre használja, akkor az ilyen levelei személyes adatnak és magántitoknak minősülnek, és főszabály szerint nem ellenőrizhetők a munkáltató által." - mondta kérdésünkre a Sár és Társai Ügyvédi Iroda ügyvédje. Hozzátette, hogy a hazai szabályozás eddig is ezt az elvet követte, vagyis ebben nem fog újdonságot hozni a GDPR.
Azonban ha a munkavállaló a céges email-címmel magánlevelezést folytat, akkor a munkáltató a magánlevelek és címzettjei email-címének is adatkezelője lesz, mivel a saját szerverén történik a levelezés, és biztonsági mentés is készül róla - hívja fel rá a figyelmet dr. Horváth Katalin. Ezért erre külön céges szabályzatot kell kidolgozni, ami rögzíti a tárolás, megőrzés szabályait, időtartamát, a törlés szabályait, időpontját, a magánlevelezésre vonatkozó szabályokat és az esetleges munkáltatói ellenőrzés szabályait. Erről a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) munkahelyi adatkezelések alapvető követelményeit bemutató tájékoztatójában lehet részletesebben olvasni.