4 miesięcy temu
WSA w Warszawie wydał niedawno wyrok dotyczący korzystania z adresu e-mail byłego pracownika – w kontekście ochrony danych osobowych. Niestety wytyczne przedstawione w uzasadnieniu orzeczenia są dalekie od ideału, a możliwość ich wdrożenia – dyskusyjna. Jak zatem postępować ze skrzynką elektroniczną pracownika po ustaniu zatrudnienia? Odpowiedzi na to pytanie poszukujemy poniżej.
Tło sprawy
Pracownik w trakcie zatrudnienia był odpowiedzialny za utrzymywanie relacji handlowych z kontrahentami i klientami firmy. Kilka miesięcy po zakończeniu stosunku pracy złożył skargę do Prezesa UODO, zarzucając swojemu byłemu pracodawcy bezpodstawne przetwarzanie jego danych osobowych. Chodziło konkretnie o adres e-mail, składający się z pierwszej litery imienia oraz pełnego nazwiska.
W toku postępowania pracodawca argumentował, iż kontynuowanie przetwarzania adresu e-mail oraz wiadomości znajdujących się w skrzynce mailowej byłego pracownika było niezbędne do utrzymania relacji biznesowych z kontrahentami i zapewnienia ciągłości spraw służbowych.
Po zakończeniu współpracy wykorzystywał więc jeszcze przez pewien czas adres mailowy. Początkowo miało to na celu wspomnianą komunikację z kontrahentami. Później pracodawca ustawił autoresponder oraz ograniczył dostęp do skrzynki mailowej tylko do najwyższego kierownictwa spółki. W tej sprawie stanowiska zajęli Prezes UODO i WSA w Warszawie.
Stanowiska organów i jeszcze więcej pytań
W swojej decyzji Prezes UODO nakazał pracodawcy usunięcie danych osobowych byłego pracownika (w postaci adresu e-mail). WSA w Warszawie podzielił to stanowisko, oddalając skargę pracodawcy na decyzję organu nadzorczego.
Niestety, zarówno w stanowisku Prezesa UODO, jak i w uzasadnieniu wyroku WSA w Warszawie odnaleźć można wiele sprzeczności. Co więcej, część z wytycznych jest wręcz niemożliwa do zrealizowania. Oto kilka przykładów:
- Prezes UODO potwierdził, iż pracodawca ma uprawnienie do przetwarzania adresu e-mail byłego pracownika (danych osobowych) w celu zapewnienia ciągłości relacji biznesowych i handlowych. Jego wykorzystywanie powinno być jednak ograniczone do wdrożenia autorespondera informującego o aktualnych formach komunikacji. Mimo tego Prezes UODO nakazał usunięcie adresu e-mail byłego pracownika.
- WSA z kolei zgodził się ze stanowiskiem Prezesa UODO dodając, że:
- po zakończeniu zatrudnienia pracodawca powinien usunąć adres e-mail pracownika „np. poprzez zastąpienie go innym oznaczeniem”,
- po dezaktywacji konta (jak rozumiemy, usunięciu adresu e-mail) pracodawca powinien wdrożyć inny mechanizm informujący o utracie aktualności adresu e-mail byłego pracownika.
To z kolei skłaniskła do wielu pytań:
- czy jest w ogóle możliwe zastosowanie się do powyższych wytycznych, uwzględniając możliwości techniczne i informatyczne?
- w jaki sposób wdrożyć autoresponder w sytuacji usunięcia adresu e-mail?
- w jaki sposób usunąć adres e-mail poprzez zastąpienie go innym oznaczeniem?
- jaki inny mechanizm informowania o utracie aktualności adresu mailowego należy wdrożyć po jego usunięciu?
Oba organy potwierdziły, iż pracodawca ma możliwość wglądu do archiwalnych wiadomości. Tu jednak nasuwa się wniosek, iż powrót do wszystkich zawartych w skrzynce wiadomości, w celu usunięcia z nich adresu e-mail pracownika, jest działaniem pozbawionym sensu.
Co więcej, takie wiadomości tracą wówczas walor dowodowy. W końcu skoro usuwamy oznaczenie pracownika odpowiedzialnego za transakcję (jego adres e-mail), to wydaje się, iż tracimy tym samym potencjalnego świadka w sprawie sądowej. Czy zatem tych danych nie powinniśmy zachować w pełni do czasu przedawnienia roszczeń?
Wnioski dla pracodawców – administratorów danych
Bez wątpienia, wykorzystywanie imiennej skrzynki mailowej byłego pracownika jako aktualnego kanału komunikacji jest praktyką nieprawidłową. W tym zakresie trzeba zgodzić się z decyzją Prezesa UODO. Pracodawca, po zakończeniu współpracy z pracownikiem, powinien poprzestać na ustawieniu autorespondera informującego o innych (aktualnych) środkach komunikacji.
Równolegle, co potwierdził Prezes UODO, pracodawca jest uprawniony do dostępu do skrzynek mailowych byłych pracowników. W wielu przypadkach będzie miało to charakter najważniejszy z perspektywy prowadzonej przez pracodawcę działalności. Mowa tu w szczególności o przypadkach, gdy były pracownik zajmował istotne, z perspektywy prowadzonej przez pracodawcę działalności, stanowisko (np. Dyrektor ds. Handlowych lub specjalista ds. zakupów).
Natomiast wdrożenie zaleceń sądu czy też Prezesa UODO, co do usunięcia adresu e-mail, może okazać się trudne, a choćby niemożliwe. Nie oznacza to jednak, iż nie ma innych sposobów, aby zabezpieczyć dostęp do skrzynki mailowej byłego pracownika z perspektywy ochrony danych.
Jakie działania podjąć, aby zabezpieczyć ten obszar?
Sposoby na to, jak zabezpieczyć dostęp do skrzynki mailowej byłego pracownika wskazujemy na grafice.
Powyższe pozwoli nie tylko ocenić prawidłowość działania i spełnić obowiązki wynikające z przepisów, ale również wykazać należytą staranność w obszarze ochrony danych (na wypadek ewentualnej kontroli).
Jeśli potrzebują Państwo wsparcia w zabezpieczeniu imiennej skrzynki byłego pracownika lub w innych kwestiach związanych z danymi osobowymi – zachęcamy do kontaktu.
