Wykorzystywanie poczty służbowej do celów prywatnych i zarządzanie skrzynką byłego pracownika

Każda firmowa skrzynka pocztowa to skarbnica informacji – od ważnych dla organizacji dokumentów, w tym związanych z tajemnicą przedsiębiorstwa, do danych osobowych naszych klientów, kontrahentów, a także (współ)pracowników, zwłaszcza jeśli ci ostatni korzystają z poczty elektronicznej zapewnionej przez pracodawcę nie tylko w celach związanych z ich obowiązkami służbowymi. Nie można jednak zapominać o tym, że pracownik wykonujący obowiązki służbowe nie traci prawa do poszanowania prywatności.

Jak wyważyć interesy pracodawcy i pracownika? Co zrobić ze skrzynką pocztową po odejściu pracownika czy podczas jego dłuższego urlopu? Czy mamy prawo upomnieć pracownika za korzystanie ze służbowego maila do celów prywatnych – a jeśli tak, to kiedy? Poniżej zebraliśmy kilka często pojawiających się wątpliwości związanych ze skrzynką pocztową.

Korzystanie z poczty służbowej do celów prywatnych. Czy jako pracodawca możemy reagować?

To zależy od tego, czy zasady obowiązujące w naszej organizacji jasno precyzują, w jaki sposób można korzystać ze służbowej skrzynki pocztowej. Reguła jest prosta: jeśli oczekujemy od (współ)pracowników, że aktywność na skrzynce pocztowej ograniczą oni wyłącznie do spraw służbowych, powinniśmy ich jasno o tym poinformować. Wiadomo, że zapis w procedurach nie sprawi, że pracownicy natychmiast, z dnia na dzień porzucą całkowicie swoje przyzwyczajenia, lecz organizację stawia on automatycznie w innej pozycji.

Jeśli pracodawca poweźmie podejrzenie, że pracownik korzysta w godzinach pracy z internetu do celów niezwiązanych z obowiązkami służbowymi, jego interwencja (np. w postaci upomnienia czy zwolnienia niewydajnego pracownika) powinna być uzależniona od tego, czy pracownik był odpowiednio powiadomiony o zakazie stosowania poczty pracodawcy w celach innych niż służbowe.

W orzecznictwie sądów pracy również wyraźnie przebija się pogląd, że pracodawca powinien podjąć odpowiednie działania edukacyjne wobec pracowników, którzy korzystają ze służbowej poczty elektronicznej, aby mieli oni świadomość, według jakich reguł należy używać służbowych e-maili i jakie ewentualne konsekwencje mogą ich spotkać za nieprzestrzeganie przyjętych norm.

Podpowiadamy
W jakiej formie przekazać informację o korzystaniu z poczty służbowej wyłącznie w celach służbowych?

W dowolny sposób, natomiast zgodnie z wynikającą z RODO zasadą rozliczalności będziemy musieli wykazać, że (współ)pracownik został odpowiednio poinformowany. Warto rozważyć umieszczenie takiej informacji np. w „Regulaminie użytkownika” czy „Regulaminie korzystania z poczty elektronicznej”.

Nie sposób w tym miejscu nie wspomnieć o słynnej sprawie Bărbulescu przeciwko Rumunii (61496/08) dotyczącej zwolnienia skarżącego z pracy po skontrolowaniu prywatnej korespondencji mailowej oraz poznaniu jej treści przez pracodawcę (chodziło o używanie poczty elektronicznej do celów niezwiązanych z pracą).

Nie ma głupich pytań RODO.
Są darmowe odpowiedzi

Skorzystaj z bezpłatnej porady prawnej lub IT.
MAM PYTANIE
Skarżący zarzucał, że decyzja pracodawcy o zakończeniu z nim współpracy wynikała z wcześniejszego naruszenia jego prawa do poszanowania życia prywatnego. Ostatecznie wyrok korzystny dla skarżącego w sprawie wydała Wielka Izba Europejskiego Trybunału Praw Człowieka, która zwróciła uwagę na kilka kluczowych aspektów: po pierwsze – skarżący nie został poinformowany ani o charakterze, ani o zakresie monitoringu, czy też o stopniu ingerencji w jego życie prywatne i korespondencję; po drugie – pracodawca powinien wykazać szczególne przyczyny uzasadniające zastosowanie monitoringu; po trzecie – pracodawca ma obowiązek każdorazowo ocenić, czy może użyć środków mniej inwazyjnych w prywatne życie i korespondencję skarżącego; po czwarte – dostęp do korespondencji powinien być realizowany za wiedzą pracownika.

Urlop chorobowy/rodzicielski - czy można przekierowywać wiadomości e-mail do przełożonego?

Pytanie brzmi, czy ustawienie przekierowania wszystkich przychodzących maili na skrzynkę nieobecnego pracownika do bezpośredniego przełożonego jest działaniem adekwatnym do celu, który jako pracodawca chcemy osiągnąć?

(Współ)pracownik może w takiej sytuacji zarzucić pracodawcy, że podobną rolę spełniłby właściwie ustawiony autoresponder: nadawca, który będzie chciał przekazać swoją wiadomość do wskazanej osoby, zrobi to we własnym zakresie, bez wymuszonego przekierowania. Problem staje się jeszcze bardziej złożony, gdy w danej organizacji nie ma zakazu wykorzystywania poczty elektronicznej do celów prywatnych; (współ)pracownik może mieć wówczas słuszne obawy, że jego szef będzie miał możliwość zapoznania się z jego prywatną korespondencją.

Wydaje się, że jeśli w procedurach pracodawcy znajduje się regulacja, że skrzynka służy tylko korespondencji służbowej, to kwestia przekierowań nie jest zbyt kontrowersyjna. Jeśli pracodawca oceni to rozwiązanie jako bardziej efektywne, trudno byłoby mu zarzucić naruszanie prywatności pracownika przebywającego na urlopie. Pozostaje inna kwestia: gdyby na taką skrzynkę „wpadła” prywatna korespondencja, to czy pracodawca mógłby się z nią zapoznać? Oczywiście, odpowiedź brzmi: nie.

Z drugiej strony, zastosowanie może znaleźć tu art. 25 RODO, tj. domyślna ochrona danych, a więc zaprojektowanie procesu w taki sposób, aby zadbać o prywatność osoby, której dane dotyczą (w tym przypadku: pracownika, który korzysta ze służbowej skrzynki pocztowej) i zapewnić, aby domyślnie wykorzystywane były tylko te dane, które są niezbędne do osiągnięcia danego celu przetwarzania. Ten pogląd reprezentuje również Europejski Inspektor Ochrony Danych w swoich wytycznych (str. 14-15), wskazując, że dostęp do skrzynki nieobecnego pracownika jest możliwy, natomiast: 1) tryb dostępu powinien być opisany w procedurach, 2) powinniśmy zastanowić się, czy są inne sposoby wejścia w posiadanie informacji ze skrzynki pracownika, czyli – przykładowo – warto rozważyć ustawienie autorespondera, 3) dostęp do skrzynki nieobecnej osoby powinien być odpowiednio „dawkowany”.

CZYTAJ WIĘCEJ:Jak zorganizować procedurę retencji danych?

Pracownik odchodzi z pracy - jak zarządzać jego skrzynką e-mail?

Gdy pracownik jest zatrudniony i korzysta na co dzień ze swojej skrzynki, może usuwać wiadomości, jeśli nie chce, aby pracodawca uzyskał do nich dostęp (np. jeśli w organizacji funkcjonuje monitoring poczty elektronicznej, o którym mowa w art. 22[3] Kodeksu pracy). W momencie ustania zatrudnienia ta kontrola z oczywistych powodów przestaje być sprawowana.

RODO.
Wsparcie się przydaje

Sam ustal zakres wspracia, aby zapewnić organizacji pełną zgodność z RODO przy optymalnych kosztach.
ZAMÓW OFERTĘ
W tym miejscu warto przytoczyć sprawę, w której włoski organ nadzorczy nałożył karę na firmę MAPEI za zaniedbania dotyczące poczty elektronicznej pracownika. Zdaniem organu, spółka naruszyła zasadę minimalizacji i legalności przetwarzania, pozostawiając aktywną imienną skrzynkę pocztową swojego byłego pracownika przez 10 miesięcy po ustaniu zatrudnienia, jednocześnie przekierowując wszelkie wiadomości do kierownika (patrz: pytanie 2). Tym samym organizacja posiadała dostęp także do wiadomości niezwiązanych z działalnością firmy, a dotyczących życia prywatnego byłego pracownika, np. powiadomień z konta na LinkedIn czy też komunikatów reklamowych dotyczących usług niezwiązanych z pracą. Wniosek? Przechowywanie danych na poczcie służbowej byłych pracowników powinno trwać możliwie jak najkrócej, zaś osoby odchodzące z organizacji muszą mieć pełną świadomość tego, czy i jak długo będą przechowywane ich skrzynki pocztowe.

Przykładowo, jako pracodawca (czyli jednocześnie administrator danych osobowych) żegnający się z(e) (współ)pracownikiem, możemy rozważyć wcielenie w życie następującego scenariusza:

  • ustawienie przekierowania przez początkowy okres (np. miesiąc) nieobecności pracownika z informacją, że maile będą przekierowywane np. od 1 marca do 1 kwietnia do wskazanej osoby, a potem dana skrzynka będzie nieaktywna, zaś sprawami nieobecnego pracownika będzie zajmowała się p. Y. Pozwoli to kontrahentom/innym pracownikom przyzwyczaić się do nieobecności p. X.
  • gdy upłynie okres wskazany w pkt. a), po wysłaniu maila na skrzynkę p. X powinien pojawiać się autoresponder z informacją, że obecnie danymi sprawami zajmuje się p. Y, ale wiadomości nie będą przekierowywane.
  • ww. zasady powinny zostać spisane i przekazane (współ)pracownikom.

W świetle powyższego warto również podkreślić, że konieczność dostępu do skrzynki pocztowej byłego pracownika jest w większości sytuacji jak najbardziej uzasadniona, np. w świetle kontynuowanych projektów i w obliczu konieczności dostępu do historii konserwacji, czy przesyłanych w korespondencji mailowej dokumentów i plików. Jako administrator musimy natomiast zadbać, aby obsługa takiej skrzynki znalazła odzwierciedlenie w naszych procedurach i nie przeczyła zasadzie minimalizacji danych, ograniczenia ich przechowywania, a także wiedzy koniecznej.

Wnioski

Motywacje do kontroli poczty elektronicznej (współ)pracowników mogą być różne. Pracodawca może kierować się chęcią sprawdzenia, czy pracownik w czasie pracy wykonuje tylko zadania służbowe, czy może rozprasza go prywatna korespondencja w czasie pracy. Do tego obowiązkiem pracodawcy jako administratora danych jest odpowiednie zaopiekowanie się skrzynką elektroniczną nieobecnego czy byłego pracownika, przy czym musi to zostać zorganizowane w taki sposób, aby z jednej strony respektować przepisy (w tym RODO i Kodeks pracy), a z drugiej – zapewnić ciągłość działania organizacji i nie wpłynąć negatywnie na funkcjonowanie firmy.

Czytaj także:

Tomasz Ochocki
Tomasz Ochocki
Kierownik zespołu merytorycznego.
Ekspert ds. ochrony danych.
Audytor wiodący systemu zarządzania bezpieczeństwem informacji (ISO/IEC 27001:2013), zarządzania ciągłością działania (ISO 22301) oraz audytor wewnętrzny ISO/IEC 27701. Ukończył podyplomowe studia z zakresu ochrony danych osobowych i informacji niejawnych oraz analizy bezpieczeństwa i zagrożeń terrorystycznych.

Autor oraz prelegent dedykowanych szkoleń pracowniczych z zakresu bezpieczeństwa informacji.

Współautor opracowania: "RODO Nawigator", "DODO Nawigator" oraz książki: "Ustawa o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Komentarz".

Adw. Łukasz Pociecha
Adw. Łukasz Pociecha
Ekspert ds. ochrony danych.
Swoje doświadczenie zawodowe zdobywał współpracując z kancelariami specjalizującymi się w obsłudze przedsiębiorców, w tym klientów korporacyjnych. Audytor wiodący ISO/IEC 27001.

Do jego kompetencji należy kompleksowa obsługa klientów w zakresie ochrony danych osobowych i bezpieczeństwa informacji, w tym m.in.: sporządzenie opinii prawnych i umów, prowadzenie szkoleń oraz przeprowadzanie audytów. Posiada aktualny certyfikat metodyki zarządzania projektami PRINCE2.

Współautor książki: "Ustawa o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Komentarz".

Barbara Matasek
Barbara Matasek
Ekspert ds. ochrony danych
Doktorant w Kolegium Prawa Akademii Leona Koźmińskiego w Warszawie. Odpowiada za przeprowadzanie audytów, przygotowanie dokumentacji w zakresie ochrony danych osobowych oraz doradztwo prawne.

Swoje zainteresowania skupia wokół prawa handlowego i prawa cywilnego, ze szczególnym uwzględnieniem zagadnień dotyczących ochrony danych osobowych. Doświadczenie zawodowe zdobywała pracując w kancelariach prawnych oraz jako asystent sędziego.

Współautorka poradnika: "Jak przygotować się do kontroli".