A konkrét ügy körülményei
Az érintett kereskedelmi ügynökként megbízási jogviszonyban állt az adatkezelő társasággal, és a szerződése megszüntetését követően kifogásolta, hogy az adatkezelő aktívan fenntartotta a megbízási jogviszony fennállása alatt használt vállalati e-mail fiókját, valamint hozzáfért a fiókban található levelezés tartalmához. A hatósági megkeresésre az adatkezelő előadta, hogy nem közvetlenül fért hozzá az érintett e-mail fiókjához, hanem a fiók tartalmáról egy szoftver segítségével készített automatikusan és rendszeres biztonsági mentést, a mentéseket pedig a megbízási jogviszony megszüntetését követően legfeljebb három évig őrzi meg. Az adatkezelő hangsúlyozta, hogy ez csak egy, a kibertámadások által okozott adatvesztési kockázatok csökkentése érdekében bevezetett technikai biztonsági intézkedés. Az adott ügyben az érintett e-mailjeihez azért volt szükséges hozzáférni a megbízási jogviszony megszűnését követően, mert az adatkezelő feljelentést tett az érintett ellen üzleti titkok ellopásának gyanúja miatt.
Az adatvédelmi hatóság megállapításai
A hatóság megállapította, hogy az adatkezelő megsértette a GDPR 13. cikkét, mivel az általa nyújtott tájékoztatás hiányos volt az adatkezelés céljainak és módszereinek teljes körű bemutatása tekintetében. A tájékoztatás túl általános módon tartalmazta, hogy a személyes adatokat a megbízási jogviszony megszüntetésével kapcsolatos vagy abból eredő valamennyi kötelezettség teljesítéséhez szükséges ideig tárolják. Az adatkezelő nem jelölte meg azokat a konkrét célokat sem, amelyek elérése érdekében szükségesnek tartotta a 3 éves megőrzési időszak meghatározását a biztonsági mentések tekintetében. Ezen túlmenően, az adatkezelő az adatokat más célokra is használta, például az érintettel szemben jogi igények előterjesztésére. Ennek kapcsán a hatóság pontosította, hogy a jogi igények védelme céljából történő adatkezelés már folyamatban lévő jogvitákat kell érintsen, nem pedig lehetséges eseteket.
Javaslatok a magyarországi munkáltatók részére
A fenti hatósági döntés tanulságai alapján a magyarországi munkáltatóknak is érdemes felülvizsgálniuk a munkavállalók e-mail fiókjairól készített biztonsági mentések megőrzésével kapcsolatos gyakorlatukat.
Az e-mail fiók inaktivitásával kapcsolatban elvárt automatikus rendszerüzenetek beállítása mellett, a munkavállalói adatkezelési tájékoztatónak tartalmaznia kell:
- A biztonsági mentések jogalapját – ez valószínűsíthetően az adatkezelő GDPR 6. cikk (1) f szerinti jogos érdeke.
- A biztonsági mentések pontos célját
- A biztonsági mentések megőrzésének pontos időtartamát.
Forrrás: Jogi Fórum (https://www.jogiforum.hu/blog-adatvedelem-10/2025/01/30/munkavallaloi-e-mailek-jogszeru-megorzese-a-munkaviszonyt-kovetoen/)