iSecure logo
  • pl
  • en
    • Blog

    SKRZYNKA BYŁEGO PRACOWNIKA A RODO

    Bartosz Migas
    Kategorie

    Służbowe skrzynki pocztowe pracowników to punkty kontaktowe, przez które przepływa duża część informacji, w tym także danych osobowych. Z jednej strony to sposób na komunikację organizacji z jej klientami czy partnerami, a z drugiej to nadal indywidualne adresy pozwalające na prowadzenie korespondencji z konkretną osobą. W tym stanie rzeczy należy zawsze pamiętać o tym, że pracownik wykonujący obowiązki służbowe nie traci prawa do poszanowania prywatności i przy postępowaniu z takimi środkami komunikacji jak indywidualna, elektroniczna skrzynka pocztowa, trzeba brać pod uwagę nie tylko prawa i interes organizacji, ale także prawa i interes pracownika.

    Złożoność tego problemu objawia się szczególnie w sytuacji postępowania ze skrzynką pocztową osoby, która kończy współpracę z organizacją. Mogłoby się wydawać, że wystarczy określenie w regulaminie pracy lub w polityce korzystania z elektronicznej skrzynki pocztowej, że skrzynka ta może być wykorzystywana wyłącznie do celów służbowych, a jej zawartość stanowi korespondencję organizacji. O ile można się zgodzić, że pracownik podlega normom ustalonym przez danego pracodawcę i można skutecznie wyznaczyć wobec niego sposób korzystania ze służbowego e-maila, o tyle organizacja nie ma żadnej mocy, aby wymóc na osobach poza jej strukturami (np. na klientach, kontrahentach, czy znajomych danego pracownika) respektowania jej zasad. Stąd może się zdarzyć, że bez woli pracownika i w sposób przez niego niezawiniony na pocztę elektroniczną trafią wiadomości, które mogą zawierać dane osobowe, których pracodawca nie chce i nie powinien przetwarzać (np. informacje dotyczące osobistych relacji, także z długotrwałymi partnerami biznesowymi).

    O ile w czasie, gdy pracownik jest zatrudniony i posiada pełny dostęp do swojej skrzynki, może usuwać nieistotne lub niechciane wiadomości, o tyle w sytuacji, kiedy w związku z zakończeniem zatrudnienia przestaje kontrolować swoją skrzynkę powstaje pytanie, jak z nią postępować, aby zabezpieczyć interes organizacji i nie naruszyć jednocześnie prawa do prywatności pracownika (na boku pozostawiam zagadnienie monitorowania skrzynki pocztowej w czasie zatrudnienia, które nie będzie tutaj omawiane).

     

    Poczta byłego pracownika – modelowe przykłady

    Elektroniczna skrzynka pocztowa byłego pracownika interesuje nas dlatego, że chcemy zachować ciągłość działania biznesowego i płynnie kontynuować komunikację dotyczącą procesów i zadań, które realizował dany pracownik poprzez kontakt z osobami z zewnątrz. Chcemy mieć pewność, że wiadomości od klientów czy partnerów trafią teraz do odpowiednich osób w naszej organizacji. Chcemy mieć także dostęp do historii takiej skrzynki, w takim zakresie w jakim obejmuje ona np. niezakończone projekty lub archiwum konwersacji w sprawie żądań czy umów. W praktyce stosuje się tutaj różne rozwiązania:

    1. Utrzymanie skrzynki pocztowej jeszcze przez jakiś czas i przekazanie dostępu do niej przełożonemu/innemu pracownikowi.
    2. Utrzymanie skrzynki pocztowej jeszcze przez jakiś czas i przekierowanie wiadomości wpływających do niej na adres elektronicznej skrzynki przełożonego lub innego pracownika.
    3. Zamknięcie skrzynki pocztowej byłego pracownika i zaprzestanie korzystania z niej.

     

    W praktyce często stosowanym rozwiązaniem jest utrzymanie korzystania ze skrzynki pocztowej jeszcze przez jakiś czas i przekazanie dostępu do niej, lub do wpływających na nią wiadomości innej osobie. Jest to podyktowane interesem organizacji, która chce zachować kontrolę nad tym punktem kontaktowym i zamknąć go dopiero w momencie, kiedy odzyska z niej wszystkie wiadomości i skutecznie powiadomi wszystkich potencjalnych nadawców o zmianie adresu kontaktowego. Takie rozwiązania są jednak ryzykowne z punktu widzenia ochrony prywatności byłego pracownika, bowiem może się zdarzyć, że w ten sposób pracodawca lub inny pracownik uzyskają dostęp do informacji, w tym danych osobowych, z którymi pracownik wcale nie chciał i nie musiał się dzielić, a czasem wręcz z takimi danymi, o których organizacja nigdy nie powinna się dowiedzieć. Utrzymywanie działania służbowej skrzynki pocztowej po odejściu pracownika zostało uznane za naruszenie RODO przez włoski organ nadzorczy w sprawie MAPEI, o której można przeczytać na naszym blogu tutaj. W tej sytuacji najbezpieczniejszym rozwiązaniem, z punktu widzenia ochrony danych osobowych, jest zamknięcie skrzynki pocztowej.

     

    Zasady postępowania – wskazówki

    Bez względu na to jak ostatecznie zostanie rozwiązany problem skrzynki pocztowej byłego pracownika, warto zadbać o kilka istotnych kwestii:

    • Określić zasady postępowania z elektroniczną skrzynką pocztową – takie zasady mogą być częścią Polityki Ochrony Danych Osobowych w danej organizacji, lub przyjąć formę odrębnej procedury. Ważne, aby jasno zakomunikować pracownikom zasady postępowania z ich pocztą po odejściu z pracy.
    • Postawić na współpracę przy przekazywaniu skrzynki elektronicznej – najczęściej przed zakończeniem zatrudnienia następuje jeszcze okres wypowiedzenia, w którym można umówić się z pracownikiem, aby uporządkował pocztę i przekazał istotne treści przed wygaśnięciem stosunku pracy.
    • Poinformować potencjalnych odbiorców – wiedząc z wyprzedzeniem o konieczności zamknięcia elektronicznej skrzynki pocztowej można wykorzystać ten czas do poinformowania potencjalnych nadawców np. wysyłając informację o dacie zamknięcia skrzynki ze wskazaniem nowego adresu kontaktowego. Dobrym rozwiązaniem jest także ustawienie na skrzynce automatycznej odpowiedzi informującej o dacie zamknięcia (lub już po jej zamknięciu), dzięki czemu nadawcy zostaną poinformowani o zmianach.
    • Nie zbierać danych na zapas – jeśli wiadomości ze skrzynki pracownika nie są tak bardzo istotne to lepiej zastanowić się, czy są w ogóle potrzebne. Być może wystarczy sporządzenie jakiejś uproszczonej dokumentacji i przekazanie niezakończonych spraw, żeby upewnić się, że zamknięcie skrzynki pocztowej nie zaburzy procesów biznesowych. Zawsze lepiej przetwarzać mniej danych, niż zbierać je na zapas.
    • Przygotować plan awaryjny – może zdarzyć się, że mimo dobrych chęci sytuacja będzie wymagać przejęcia kontroli nad skrzynką pracownika (nie tylko w sytuacji odejścia z pracy). Jeśli np. pracownik z powodów zdrowotnych trafi na długotrwałe zwolnienie bez możliwości dostępu do skrzynki lub umowa zostanie zerwana bez wypowiedzenia z powodu utraty zaufania do pracownika, to przygotowując się na taką okoliczność warto przewidzieć tryb wyjątkowy np. powołanie wąskiej komisji do przejrzenia skrzynki e-mail i usunięcia z niej niechcianych danych przed zabezpieczeniem ważnej korespondencji, tak aby mimo konieczności przejęcia kontroli nad skrzynką i wiadomościami bez zgody pracownika zapewnić mu możliwie jak najpełniejszą ochronę prywatności.

     

    Przy ustalaniu zasad postępowania z indywidualnymi skrzynkami pocztowymi dobrze też skonsultować pomysły z samymi pracownikami. Dobra komunikacja w organizacji oparta o wzajemny szacunek i przejrzystość zasad jest najlepszą gwarancją zabezpieczenia interesów wszystkich stron.

    Pobierz wpis w wersji pdf
    iSecure Signet

    iSecure to firma doradcza, której działalność skoncentrowana jest na zagadnieniach związanych z ochroną danych osobowychbezpieczeństwem informacji, w tym kompleksowym wdrażaniem RODO, przygotowywaniu planów działań w sytuacjach szczególnych zagrożeń, przeprowadzaniu testów penetracyjnych, wdrażaniu normy ISO 27001 i obsłudze prawnej firm działających w Internecie. Eksperci iSecure przeprowadzają także szkolenia oraz są autorami licznych publikacji i wystąpień.

    Podobne wpisy:

    Katarzyna Ułasiuk-Delamare

    Pułapki i błędy w zbieraniu zgody

    Jeżeli ktoś słyszał o ochronie danych osobowych, to na pewno słyszał o zgodzie na ich przetwarzanie. Co gorsza, im więcej mówi się o przestrzeganiu RODO, tym częściej słyszymy to i ówdzie: „nie wyrażałem zgody na ich przetwarzanie, proszę o usunięcie”, czy „jakim prawem przetwarzacie dane, nie udzielałem na to zgody”. Chociaż temat zbierania zgód na […]

    Czytaj więcej
    Agnieszka Rapcewicz

    10 błędów przy wdrożeniu RODO – „papierowe” wdrożenie

    Dziś mijają dwa lata od wejścia w życie RODO. Czy przez ten czas przedsiębiorcom udało się osiągnąć pełną zgodność z nowymi przepisami? Z naszego doświadczenia wynika, że spora część firm dokonała wdrożenia jedynie formalnie, a przygotowana dokumentacja często nie odpowiada indywidulanym potrzebom danej organizacji. Niedawno Związek Firm Ochrony Danych Osobowych opublikował zestawienie 10 największych błędów […]

    Czytaj więcej
    Profilowanie klientów – nowe plany zarobkowe Alior Banku
    Damian Bielecki

    Powierzenie po duńsku, czyli jak przy pomocy klocków w art. 28 ust. 3 stworzyć umowę powierzenia?

    Od czasu wejścia w życie RODO minęło już ponad dwa lata. 25 maja 2018 roku umowa powierzenia była niemalże całkowicie nieznana biznesowi, a idea zawierania umowy w przypadkach przetwarzania danych osobowych w imieniu zlecającego dopiero nabierała na znaczeniu – mimo, że samo umowne powierzanie danych osobowych było obowiązkiem jeszcze przed obowiązywaniem stosowania RODO (na podstawie ustawy […]

    Czytaj więcej
    Zapis do newslettera
    Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki