Dezactivarea e-mail-urilor fostilor angajati

Article Dezactivarea e-mail-urilor fostilor angajati conform cu GDPR | Decalex

Concedierile și demisiile angajaților au loc tot timpul în companiile private și instituțiile publice. Cu toate acestea, există câteva lucruri importante de luat în considerare în această situație. De exemplu, un angajator trebuie să se gândească la modalități în care comunicarea dintre clienți și companie este cât mai puțin afectată. În timp ce numărul telefonului de serviciu al unui fost angajat poate fi pur și simplu redirecționat, conturile de e-mail sunt mai dificil de gestionat. Există diferite practici cu privire la modul de a gestiona e-mailurile unui fost angajat.

 

O practica comuna în sectorul privat este redirecționarea e-mailurilor către un alt utilizator (managerul sau persoana care preia conducerea) pentru o perioada limitata de timp, apoi curățarea contului utilizatorului. În acest fel, vă asigurați că orice comunicare relevantă cu clienții este menținută. 

O altă metodă utilizată este aceea de a avea un mesaj automat care informează clientul că angajatul a părăsit compania și nu mai este posibil să folosească acest email. După o perioadă de timp predefinită, contul de e-mail va fi dezactivat și arhivat.

 

Cu toate acestea, sunt aceste metode etice și legale? Conform unei opinii angajatorul deține toate datele de pe hardware-ul său, inclusiv arhivele de e-mail. Prin urmare, angajatul nu are niciun drept asupra identității sale prin raportare la e-mail. Aceasta opinie susține că angajatorii păstrează doar de complezență e-mailurile fostului angajat, cu justificarea că aceasta se întâmplă pentru a nu bloca comunicarea cu clienții.  În timp ce s-ar pune problema eticii angajatorului, dacă acesta ar folosi e-mailul fostului angajat pentru a perpetua o impresie falsă că angajatul a rămas în companie, pur și simplu exploatarea traficului de intrare este cu siguranță în drepturile angajatorului.

 

Cu toate acestea, această explicație nu ia în considerare orientările generale și principiile de asigurare a confidențialității și vieții private a angajaților. În multe cazuri, așa cum statuează si Curtea Europeană, este permisă o utilizare privată a adresei de e-mail de muncă, care generează o anumită așteptare de confidențialitate din partea angajaților - angajatorii nu ar trebui să citească în mod normal e-mailurile angajaților lor, deoarece pot conține și informații legate de viața lor privată.

 

Lucruri de luat în considerare la stabilirea politicilor privind conturile de e-mail ale companiei

1) Aveți un interes legitim în prelucrarea datelor cu caracter personal dincolo de punctul în care angajatul părăsește compania. Angajatorul trebuie să se asigure că baza legală, scopul prelucrării și perioada de păstrare a e-mailului sunt reflectate în Politica de confidențialitate.

 

2) Potrivit AEPD (Autoritatea europeană privind Protecția Datelor), angajatorul ar trebui să se asigure că informațiile/e-mailurile critice din punct de vedere comercial sunt stocate într-o zonă securizată, centralizată, mai degrabă decât în inbox-ul unei persoane. Această zonă poate avea propria perioadă de reținere.

 

3) O companie nu se poate baza pe consimțământul angajaților pentru prelucrarea datelor lor, deoarece echilibrul puterii nu există - acest lucru face consimțământul invalid.

 

4) Un angajator ar trebui să aibă o politică în ceea ce privește e-mailurile de muncă. Prin aceasta ar trebui să se asigure că contul de e-mail este utilizat numai în acest scop, pentru a limita posibilitatea ca în inboxul angajatului să se regăsească și informații personale.

 

5) În general, o companie ar trebui să fie transparentă. Angajații trebuie informați (prin intermediul Politicii de prelucrare a datelor de la locul de muncă) că societatea va menține accesul la inbox după ce au plecat și de ce trebuie să facă acest lucru.

 

Orientări suplimentare din partea Autorității europene pentru Protecția Datelor (“AEPD”)

În plus, AEPD a publicat în cadrul Orientărilor sale privind datele cu caracter personal și comunicațiile electronice în instituțiile UE mai multe recomandări cu privire la accesul la corespondența e-mail după ce un membru al personalului a părăsit organizația.

 

Recomandările AEPD au fost (1) de a lua măsuri de precauție pentru a reduce necesitatea de a accesa cutiile poștale personale în scopuri de continuitate a activității și (2) de a adopta o politică privind accesarea corespondențelor pe e-mail ale fostului angajat, în cazul în care există o nevoie pentru afacerea respectivă.

 

Pentru a minimiza necesitatea de a accesa cutiile poștale personale în absența angajaților, o companie trebuie să se asigure că e-mailurile relevante sunt, de asemenea, accesibile în altă parte. De exemplu, instruirea angajaților pentru a salva toate e-mailurile relevante în dosare electronice, cum ar fi în sistemele de gestionare a documentelor, arhivarea corespondenței; introducerea unor căsuțe poștale pentru anumite unități/servicii/sectoare care sunt accesibile tuturor angajaților; instruirea angajaților care părăsesc compania pentru a furniza note complete de predare.

 

În cazul în care accesul la contul de e-mail este încă necesar, compania ar trebui să aibă în vigoare o politică care să menționeze posibilitatea ca adresa de e-mail a angajatului să fie folosită ulterior concedierii/demisiei. Acest lucru este pentru a se asigura că personalul este informat cu privire la accesarea contului său de e-mail. Utilizatorului ar trebui să i se ofere o explicație detaliată pentru acest acces, care să evidențieze necesitatea, urgența, natura și domeniul de aplicare al informațiilor solicitate.

 

Exemplu

În conformitate cu normele companiei, membrii personalului trebuie să stocheze toată corespondența relevantă într-un sistem de gestionare a documentelor. Acesta include e-mailuri interne către și de la managerii de linie care aprobă documente și orice alte informații de care vor avea nevoie viitorii responsabili de cazuri. În combinație cu notele de predare, este puțin probabil ca accesul la cutia poștală a fostului angajat să fie necesar în scopul continuității activității afacerii. În cazul în care un astfel de acces este încă necesar, fostul angajat va fi informat, dacă este posibil. Pentru a evita accesarea conținutului privat, membrii personalului sunt instruiți să salveze corespondența privată într-un folder denumit corespunzător, astfel încât să poată fi ușor evitată. În conformitate cu regulile companiei, cutiile lor poștale urmează să fie șterse la două luni după plecarea lor.

 

Recomandări și amenzi din partea Autorităților naționale pentru Protecția Datelor

După cum s-a discutat, Regulamentul General privind Protecția Datelor (GDPR) nu oferă reguli foarte stricte în acest sens, iar orientările Autorității Europene pentru Protecția Datelor sunt sugestive. Cu toate acestea, mai multe autorități naționale pentru protecția datelor au decis să stabilească norme obișnuite prin declarațiile pe care le dau și prin amenzile pe care le aplică. Trei dintre aceste exemple sunt Slovenia, Norvegia și Grecia.

 

Autoritatea slovenă pentru protecția datelor

Recent, Autoritatea slovenă pentru Protecția Datelor a publicat o declarație potrivit căreia, la încetarea contractului de muncă, angajatorul trebuie să dezactiveze adresa electronică a fostului angajat din cauza încetării temeiului juridic relevant. Autoritatea pentru protecția datelor recomandă asigurarea continuității activității în mai multe alte moduri, cum ar fi notificarea automată a absenței adresei fostului angajat, precum și furnizarea de informații cu privire la locul în care se poate găsi adresa de e-mail a acestuia.

În plus, declarația avertizează că este inadmisibil ca un angajator să păstreze activă adresa de e-mail a fostului angajat după încetarea relației de muncă prin redirecționarea e-mailului la adresa de e-mail a unui alt angajat. Este responsabilitatea angajatorului să se asigure că toate e-mailurile oficiale sunt transferate într-o cutie poștală electronică comună accesibilă altor angajați înainte de plecare. În plus, angajatul care pleacă trebuie fie să șteargă mesajele și documentele de natură privată de pe adresa de e-mail de serviciu și de pe computerul său, fie să le salveze pe un alt dispozitiv și să informeze contactele private că adresa lui de e-mail nu va mai fi accesibilă.

 

Autoritatea norvegiană pentru protecția datelor

În iunie 2021, Autoritatea norvegiană pentru Protecția Datelor a primit o plângere din partea unei persoane care a descoperit că fostul său cont de e-mail a fost accesat de fostul său angajator. Managerul întreprinderii a schimbat parola și s-a conectat la contul de e-mail al reclamantului în fiecare zi, pentru o perioadă de șase săptămâni de la încetarea angajării. Managerul a avut, de asemenea, acces la contul de e-mail pentru o perioadă mai mare de cinci luni. Se presupune că contul de e-mail a fost deschis pentru a răspunde nevoii întreprinderii de a monitoriza clienții și de a gestiona anchetele după ce reclamantul a plecat. Pe baza hotărârii, Autoritatea pentru protecția datelor a amendat întreprinderea cu 15,000 EUR (150,000 NOK).

După ce a luat în considerare problema, Autoritatea norvegiană pentru protecția datelor a constatat că întreprinderea nu are un temei juridic pentru accesarea e-mailului în acest mod. Întreprinderea a obținut acces la adresa de e-mail a reclamantului prin încălcarea reglementărilor privind accesul angajaților la conturile de e-mail și la alte materiale electronice, precum și la cerința privind temeiul juridic stabilită de GDPR.

De asemenea, organizația nu a stabilit proceduri pentru a accesa e-mailurile. Autoritatea pentru protecția datelor subliniază că stabilirea de proceduri ar crea conștientizare și ar promova respectarea reglementărilor.

 

Autoritatea greacă pentru protecția datelor

La începutul anului 2021, Autoritatea greacă pentru protecția datelor a primit o plângere în baza căreia a efectuat o investigație privind legalitatea accesului la e-mailurile șterse și a inspecției acestora de către un manager senior pentru care exista suspiciunea că a comis acte ilegale împotriva intereselor companiei.

Autoritatea a constatat că societatea în calitate de operator a respectat cerințele GDPR și că politicile și reglementările sale interne prevăd interzicerea utilizării comunicațiilor electronice și a rețelelor companiei în scopuri private și posibilitatea efectuării de inspecții interne. Prin urmare, compania a avut dreptul legal în temeiul articolului 5 alineatul (1) și al articolului 6 alineatul (1) litera (f) din GDPR de a efectua o investigație internă în căutarea și retragerea e-mailurilor angajaților. Chiar și în această situație, Autoritatea a constatat că societatea nu a respectat dreptul angajatului de a avea acces la datele sale cu caracter personal conținute în calculatorul său de muncă.

În acest caz, Autoritatea pentru protecția datelor cu caracter personal a acordat o amendă în valoare de 15,000 EUR.

 

Pentru detalii privind aplicarea GDPR în relația cu angajații ne puteți scrie la office@decalex.o 

Share:
Diana Cojocaru
Autor: Diana Cojocaru

Privacy & Data Protection, Information Systems Auditor

PUNE O INTREBARE