Cum poate angajatorul să acceseze contul de e-mail de serviciu al unui salariat, fără să riște o amendă

Problema a fost abordată, recent, în Ungaria, unde Autoritatea maghiară de protecție a datelor a sancționat, de curând, un angajator pentru ilegala accesare a contului de e-mail de serviciu a unui salariat.

Notă: Înainte de a discuta cadrul general și specificul situației din Ungaria, trebuie precizat că paralele între țara noastră și vecinii din vest ai României pot fi făcute, însă situația poate fi ușor diferită la noi. Acest lucru se datorează faptului că Autoritatea maghiară a acționat în baza Regulamentului general privind protecția datelor (GDPR), aplicabil în aceeași formă atât în Ungaria, cât și în România. Însă Autoritatea maghiară a aplicat și legea ungară în domeniul relațiilor de muncă - ceea ce ar putea duce la interpretări diferite ale normelor relevante, comparativ cu ce s-ar întâmpla în România.

Ca regulă, conform unui articol al celor de la Schoenherr (care prezintă situația din Ungaria), practica Autorității maghiare de protecție a datelor (bazată, în principal, pe GDPR) pare să pornească de la următoarele principii de bază, în ceea ce privește monitorizarea contului de e-mail de serviciu a salariatului, de către angajator:

• existența unor politici clare ale angajatorului în ceea ce privește accesarea contului de e-mail de serviciu al unui angajat;
• informarea prealabilă a salariatului cu privire la accesarea contului de e-mail și/sau monitorizarea activitiății angajatului;
• acordarea unei oportunități salariatului de a fi prezent în timpul accesării contului de e-mail.

De asemenea, este foarte important să se urmărească doar accesarea documentelor de serviciu, altcumva angajatorul neavând o justificare obiectivă pentru accesare (de exemplu, nu ar avea un interes legitim să acceseze conversații private). În același timp angajatorul trebie să se asigure că și-a informat angajații inclusiv cu privire la drepturile lor.

În final, angajatorii ar trebui să documenteze activitățile de mai sus și să păstreze documentele (lucru ce s-ar putea dovedi de ajutor inclusiv în cazul unor inspecții).

Neîndeplinirea acestor condiții ar transforma prelucrarea de date într-una ilegală și, astfel, s-ar ajunge la situația în care angajatorul ar putea fi amendat pentru accesarea ilegală a contului de e-mail de serviciu al salariatului.

În România, Legea nr. 190/2018 stabilește anumite norme de aplicare concretă a legislației privind protecția datelor în domeniul relațiilor de muncă. Potrivit acestora, monitorizarea electronică a activității angajatului (care poate viza și contul de e-mail), ca prelucrare de date, este permisă dacă:

• interesele legitime urmărite de angajator sunt temeinic justificate și prevalează asupra intereselor sau drepturilor și libertăților persoanelor vizate;
• angajatorul a realizat informarea prealabilă obligatorie, completă și în mod explicit a angajaților;
• angajatorul a consultat sindicatul sau, după caz, reprezentanții angajaților înainte de introducerea sistemelor de monitorizare;
• alte forme și modalități mai puțin intruzive pentru atingerea scopului urmărit de angajator nu și-au dovedit anterior eficiența; și
• durata de stocare a datelor cu caracter personal este proporțională cu scopul prelucrării, dar nu mai mare de 30 de zile, cu excepția situațiilor expres reglementate de lege sau a cazurilor temeinic justificate.

Mai multe informații despre cum pot să prelucreze angajatorii români date prin accesarea conturilor de e-mail de serviciu ale salariaților pot fi găsite aici și aici. De asemenea, aici poate fi găsită o serie de exemple concrete în care monitorizarea conversațiilor salariaților ar fi permisă.