iSecure logo
Blog

SKRZYNKA BYŁEGO PRACOWNIKA A RODO

Kategorie

Służbowe skrzynki pocztowe pracowników to punkty kontaktowe, przez które przepływa duża część informacji, w tym także danych osobowych. Z jednej strony to sposób na komunikację organizacji z jej klientami czy partnerami, a z drugiej to nadal indywidualne adresy pozwalające na prowadzenie korespondencji z konkretną osobą. W tym stanie rzeczy należy zawsze pamiętać o tym, że pracownik wykonujący obowiązki służbowe nie traci prawa do poszanowania prywatności i przy postępowaniu z takimi środkami komunikacji jak indywidualna, elektroniczna skrzynka pocztowa, trzeba brać pod uwagę nie tylko prawa i interes organizacji, ale także prawa i interes pracownika.

Złożoność tego problemu objawia się szczególnie w sytuacji postępowania ze skrzynką pocztową osoby, która kończy współpracę z organizacją. Mogłoby się wydawać, że wystarczy określenie w regulaminie pracy lub w polityce korzystania z elektronicznej skrzynki pocztowej, że skrzynka ta może być wykorzystywana wyłącznie do celów służbowych, a jej zawartość stanowi korespondencję organizacji. O ile można się zgodzić, że pracownik podlega normom ustalonym przez danego pracodawcę i można skutecznie wyznaczyć wobec niego sposób korzystania ze służbowego e-maila, o tyle organizacja nie ma żadnej mocy, aby wymóc na osobach poza jej strukturami (np. na klientach, kontrahentach, czy znajomych danego pracownika) respektowania jej zasad. Stąd może się zdarzyć, że bez woli pracownika i w sposób przez niego niezawiniony na pocztę elektroniczną trafią wiadomości, które mogą zawierać dane osobowe, których pracodawca nie chce i nie powinien przetwarzać (np. informacje dotyczące osobistych relacji, także z długotrwałymi partnerami biznesowymi).

O ile w czasie, gdy pracownik jest zatrudniony i posiada pełny dostęp do swojej skrzynki, może usuwać nieistotne lub niechciane wiadomości, o tyle w sytuacji, kiedy w związku z zakończeniem zatrudnienia przestaje kontrolować swoją skrzynkę powstaje pytanie, jak z nią postępować, aby zabezpieczyć interes organizacji i nie naruszyć jednocześnie prawa do prywatności pracownika (na boku pozostawiam zagadnienie monitorowania skrzynki pocztowej w czasie zatrudnienia, które nie będzie tutaj omawiane).

 

Poczta byłego pracownika – modelowe przykłady

Elektroniczna skrzynka pocztowa byłego pracownika interesuje nas dlatego, że chcemy zachować ciągłość działania biznesowego i płynnie kontynuować komunikację dotyczącą procesów i zadań, które realizował dany pracownik poprzez kontakt z osobami z zewnątrz. Chcemy mieć pewność, że wiadomości od klientów czy partnerów trafią teraz do odpowiednich osób w naszej organizacji. Chcemy mieć także dostęp do historii takiej skrzynki, w takim zakresie w jakim obejmuje ona np. niezakończone projekty lub archiwum konwersacji w sprawie żądań czy umów. W praktyce stosuje się tutaj różne rozwiązania:

  1. Utrzymanie skrzynki pocztowej jeszcze przez jakiś czas i przekazanie dostępu do niej przełożonemu/innemu pracownikowi.
  2. Utrzymanie skrzynki pocztowej jeszcze przez jakiś czas i przekierowanie wiadomości wpływających do niej na adres elektronicznej skrzynki przełożonego lub innego pracownika.
  3. Zamknięcie skrzynki pocztowej byłego pracownika i zaprzestanie korzystania z niej.

 

W praktyce często stosowanym rozwiązaniem jest utrzymanie korzystania ze skrzynki pocztowej jeszcze przez jakiś czas i przekazanie dostępu do niej, lub do wpływających na nią wiadomości innej osobie. Jest to podyktowane interesem organizacji, która chce zachować kontrolę nad tym punktem kontaktowym i zamknąć go dopiero w momencie, kiedy odzyska z niej wszystkie wiadomości i skutecznie powiadomi wszystkich potencjalnych nadawców o zmianie adresu kontaktowego. Takie rozwiązania są jednak ryzykowne z punktu widzenia ochrony prywatności byłego pracownika, bowiem może się zdarzyć, że w ten sposób pracodawca lub inny pracownik uzyskają dostęp do informacji, w tym danych osobowych, z którymi pracownik wcale nie chciał i nie musiał się dzielić, a czasem wręcz z takimi danymi, o których organizacja nigdy nie powinna się dowiedzieć. Utrzymywanie działania służbowej skrzynki pocztowej po odejściu pracownika zostało uznane za naruszenie RODO przez włoski organ nadzorczy w sprawie MAPEI, o której można przeczytać na naszym blogu tutaj. W tej sytuacji najbezpieczniejszym rozwiązaniem, z punktu widzenia ochrony danych osobowych, jest zamknięcie skrzynki pocztowej.

 

Zasady postępowania – wskazówki

Bez względu na to jak ostatecznie zostanie rozwiązany problem skrzynki pocztowej byłego pracownika, warto zadbać o kilka istotnych kwestii:

  • Określić zasady postępowania z elektroniczną skrzynką pocztową – takie zasady mogą być częścią Polityki Ochrony Danych Osobowych w danej organizacji, lub przyjąć formę odrębnej procedury. Ważne, aby jasno zakomunikować pracownikom zasady postępowania z ich pocztą po odejściu z pracy.
  • Postawić na współpracę przy przekazywaniu skrzynki elektronicznej – najczęściej przed zakończeniem zatrudnienia następuje jeszcze okres wypowiedzenia, w którym można umówić się z pracownikiem, aby uporządkował pocztę i przekazał istotne treści przed wygaśnięciem stosunku pracy.
  • Poinformować potencjalnych odbiorców – wiedząc z wyprzedzeniem o konieczności zamknięcia elektronicznej skrzynki pocztowej można wykorzystać ten czas do poinformowania potencjalnych nadawców np. wysyłając informację o dacie zamknięcia skrzynki ze wskazaniem nowego adresu kontaktowego. Dobrym rozwiązaniem jest także ustawienie na skrzynce automatycznej odpowiedzi informującej o dacie zamknięcia (lub już po jej zamknięciu), dzięki czemu nadawcy zostaną poinformowani o zmianach.
  • Nie zbierać danych na zapas – jeśli wiadomości ze skrzynki pracownika nie są tak bardzo istotne to lepiej zastanowić się, czy są w ogóle potrzebne. Być może wystarczy sporządzenie jakiejś uproszczonej dokumentacji i przekazanie niezakończonych spraw, żeby upewnić się, że zamknięcie skrzynki pocztowej nie zaburzy procesów biznesowych. Zawsze lepiej przetwarzać mniej danych, niż zbierać je na zapas.
  • Przygotować plan awaryjny – może zdarzyć się, że mimo dobrych chęci sytuacja będzie wymagać przejęcia kontroli nad skrzynką pracownika (nie tylko w sytuacji odejścia z pracy). Jeśli np. pracownik z powodów zdrowotnych trafi na długotrwałe zwolnienie bez możliwości dostępu do skrzynki lub umowa zostanie zerwana bez wypowiedzenia z powodu utraty zaufania do pracownika, to przygotowując się na taką okoliczność warto przewidzieć tryb wyjątkowy np. powołanie wąskiej komisji do przejrzenia skrzynki e-mail i usunięcia z niej niechcianych danych przed zabezpieczeniem ważnej korespondencji, tak aby mimo konieczności przejęcia kontroli nad skrzynką i wiadomościami bez zgody pracownika zapewnić mu możliwie jak najpełniejszą ochronę prywatności.

 

Przy ustalaniu zasad postępowania z indywidualnymi skrzynkami pocztowymi dobrze też skonsultować pomysły z samymi pracownikami. Dobra komunikacja w organizacji oparta o wzajemny szacunek i przejrzystość zasad jest najlepszą gwarancją zabezpieczenia interesów wszystkich stron.

Pobierz wpis w wersji pdf

Podobne wpisy:

Dokumentacja RODO a zasada rozliczalności. DODATEK: Pytania weryfikujące.

W ubiegłym miesiącu przedstawiliśmy Wam artykuł o dokumentacji zgodnej z RODO. Nie tylko wymieniliśmy podstawowe dokumenty niezbędne przedsiębiorcy, ale dodatkowo opisaliśmy czego one dotyczą i co powinny zawierać. Jeżeli jeszcze nie czytaliście, gorąco zachęcamy.  W międzyczasie brytyjskie Biuro Komisarza ds. Informacji (ang. Information Commissioner’s Office – ICO) wydało wytyczne dotyczące zasady rozliczalności. Co prawda dokument […]

Umowa udostępnienia danych osobowych w celach marketingowych

Specjaliści w dziedzinie marketingu na pewno słyszeli o umowie powierzenia danych osobowych, zwłaszcza kiedy korzystają ze wsparcia zewnętrznych dostawców usług – realizacji kampanii mailingowych czy SMS, realizacji promocji, konkursów, utrzymania systemu do przetwarzania baz marketingowych. Rzadziej w obrocie pomiędzy firmami pojawia się umowa udostępnienia danych osobowych do zawarcia pomiędzy firmą X udostępniającą dane a firmą […]

Audyt zgodności z RODO

Jak przygotować audyt RODO?

Zanim przejdę do sedna tematu, najpierw – tytułem przypomnienia i wstępu – chciałbym przypomnieć naszym Czytelnikom jak definiowany jest audyt. Będzie to dobry punkt wyjścia do dalszych rozważań będących przedmiotem niniejszego wpisu. Cytując zatem normę ISO 27000, audyt jest to systematyczny, niezależny i dokumentowany proces uzyskiwania dowodu oraz jego obiektywnej oceny w celu określenia stopnia […]

Zapis do newslettera
Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki