iSecure logo
Blog

SKRZYNKA BYŁEGO PRACOWNIKA A RODO

Bartosz Migas
Kategorie

Służbowe skrzynki pocztowe pracowników to punkty kontaktowe, przez które przepływa duża część informacji, w tym także danych osobowych. Z jednej strony to sposób na komunikację organizacji z jej klientami czy partnerami, a z drugiej to nadal indywidualne adresy pozwalające na prowadzenie korespondencji z konkretną osobą. W tym stanie rzeczy należy zawsze pamiętać o tym, że pracownik wykonujący obowiązki służbowe nie traci prawa do poszanowania prywatności i przy postępowaniu z takimi środkami komunikacji jak indywidualna, elektroniczna skrzynka pocztowa, trzeba brać pod uwagę nie tylko prawa i interes organizacji, ale także prawa i interes pracownika.

Złożoność tego problemu objawia się szczególnie w sytuacji postępowania ze skrzynką pocztową osoby, która kończy współpracę z organizacją. Mogłoby się wydawać, że wystarczy określenie w regulaminie pracy lub w polityce korzystania z elektronicznej skrzynki pocztowej, że skrzynka ta może być wykorzystywana wyłącznie do celów służbowych, a jej zawartość stanowi korespondencję organizacji. O ile można się zgodzić, że pracownik podlega normom ustalonym przez danego pracodawcę i można skutecznie wyznaczyć wobec niego sposób korzystania ze służbowego e-maila, o tyle organizacja nie ma żadnej mocy, aby wymóc na osobach poza jej strukturami (np. na klientach, kontrahentach, czy znajomych danego pracownika) respektowania jej zasad. Stąd może się zdarzyć, że bez woli pracownika i w sposób przez niego niezawiniony na pocztę elektroniczną trafią wiadomości, które mogą zawierać dane osobowe, których pracodawca nie chce i nie powinien przetwarzać (np. informacje dotyczące osobistych relacji, także z długotrwałymi partnerami biznesowymi).

O ile w czasie, gdy pracownik jest zatrudniony i posiada pełny dostęp do swojej skrzynki, może usuwać nieistotne lub niechciane wiadomości, o tyle w sytuacji, kiedy w związku z zakończeniem zatrudnienia przestaje kontrolować swoją skrzynkę powstaje pytanie, jak z nią postępować, aby zabezpieczyć interes organizacji i nie naruszyć jednocześnie prawa do prywatności pracownika (na boku pozostawiam zagadnienie monitorowania skrzynki pocztowej w czasie zatrudnienia, które nie będzie tutaj omawiane).

 

Poczta byłego pracownika – modelowe przykłady

Elektroniczna skrzynka pocztowa byłego pracownika interesuje nas dlatego, że chcemy zachować ciągłość działania biznesowego i płynnie kontynuować komunikację dotyczącą procesów i zadań, które realizował dany pracownik poprzez kontakt z osobami z zewnątrz. Chcemy mieć pewność, że wiadomości od klientów czy partnerów trafią teraz do odpowiednich osób w naszej organizacji. Chcemy mieć także dostęp do historii takiej skrzynki, w takim zakresie w jakim obejmuje ona np. niezakończone projekty lub archiwum konwersacji w sprawie żądań czy umów. W praktyce stosuje się tutaj różne rozwiązania:

  1. Utrzymanie skrzynki pocztowej jeszcze przez jakiś czas i przekazanie dostępu do niej przełożonemu/innemu pracownikowi.
  2. Utrzymanie skrzynki pocztowej jeszcze przez jakiś czas i przekierowanie wiadomości wpływających do niej na adres elektronicznej skrzynki przełożonego lub innego pracownika.
  3. Zamknięcie skrzynki pocztowej byłego pracownika i zaprzestanie korzystania z niej.

 

W praktyce często stosowanym rozwiązaniem jest utrzymanie korzystania ze skrzynki pocztowej jeszcze przez jakiś czas i przekazanie dostępu do niej, lub do wpływających na nią wiadomości innej osobie. Jest to podyktowane interesem organizacji, która chce zachować kontrolę nad tym punktem kontaktowym i zamknąć go dopiero w momencie, kiedy odzyska z niej wszystkie wiadomości i skutecznie powiadomi wszystkich potencjalnych nadawców o zmianie adresu kontaktowego. Takie rozwiązania są jednak ryzykowne z punktu widzenia ochrony prywatności byłego pracownika, bowiem może się zdarzyć, że w ten sposób pracodawca lub inny pracownik uzyskają dostęp do informacji, w tym danych osobowych, z którymi pracownik wcale nie chciał i nie musiał się dzielić, a czasem wręcz z takimi danymi, o których organizacja nigdy nie powinna się dowiedzieć. Utrzymywanie działania służbowej skrzynki pocztowej po odejściu pracownika zostało uznane za naruszenie RODO przez włoski organ nadzorczy w sprawie MAPEI, o której można przeczytać na naszym blogu tutaj. W tej sytuacji najbezpieczniejszym rozwiązaniem, z punktu widzenia ochrony danych osobowych, jest zamknięcie skrzynki pocztowej.

 

Zasady postępowania – wskazówki

Bez względu na to jak ostatecznie zostanie rozwiązany problem skrzynki pocztowej byłego pracownika, warto zadbać o kilka istotnych kwestii:

  • Określić zasady postępowania z elektroniczną skrzynką pocztową – takie zasady mogą być częścią Polityki Ochrony Danych Osobowych w danej organizacji, lub przyjąć formę odrębnej procedury. Ważne, aby jasno zakomunikować pracownikom zasady postępowania z ich pocztą po odejściu z pracy.
  • Postawić na współpracę przy przekazywaniu skrzynki elektronicznej – najczęściej przed zakończeniem zatrudnienia następuje jeszcze okres wypowiedzenia, w którym można umówić się z pracownikiem, aby uporządkował pocztę i przekazał istotne treści przed wygaśnięciem stosunku pracy.
  • Poinformować potencjalnych odbiorców – wiedząc z wyprzedzeniem o konieczności zamknięcia elektronicznej skrzynki pocztowej można wykorzystać ten czas do poinformowania potencjalnych nadawców np. wysyłając informację o dacie zamknięcia skrzynki ze wskazaniem nowego adresu kontaktowego. Dobrym rozwiązaniem jest także ustawienie na skrzynce automatycznej odpowiedzi informującej o dacie zamknięcia (lub już po jej zamknięciu), dzięki czemu nadawcy zostaną poinformowani o zmianach.
  • Nie zbierać danych na zapas – jeśli wiadomości ze skrzynki pracownika nie są tak bardzo istotne to lepiej zastanowić się, czy są w ogóle potrzebne. Być może wystarczy sporządzenie jakiejś uproszczonej dokumentacji i przekazanie niezakończonych spraw, żeby upewnić się, że zamknięcie skrzynki pocztowej nie zaburzy procesów biznesowych. Zawsze lepiej przetwarzać mniej danych, niż zbierać je na zapas.
  • Przygotować plan awaryjny – może zdarzyć się, że mimo dobrych chęci sytuacja będzie wymagać przejęcia kontroli nad skrzynką pracownika (nie tylko w sytuacji odejścia z pracy). Jeśli np. pracownik z powodów zdrowotnych trafi na długotrwałe zwolnienie bez możliwości dostępu do skrzynki lub umowa zostanie zerwana bez wypowiedzenia z powodu utraty zaufania do pracownika, to przygotowując się na taką okoliczność warto przewidzieć tryb wyjątkowy np. powołanie wąskiej komisji do przejrzenia skrzynki e-mail i usunięcia z niej niechcianych danych przed zabezpieczeniem ważnej korespondencji, tak aby mimo konieczności przejęcia kontroli nad skrzynką i wiadomościami bez zgody pracownika zapewnić mu możliwie jak najpełniejszą ochronę prywatności.

 

Przy ustalaniu zasad postępowania z indywidualnymi skrzynkami pocztowymi dobrze też skonsultować pomysły z samymi pracownikami. Dobra komunikacja w organizacji oparta o wzajemny szacunek i przejrzystość zasad jest najlepszą gwarancją zabezpieczenia interesów wszystkich stron.

Pobierz wpis w wersji pdf

Podobne wpisy:

Rozwijamy się: Katarzyna Ułasiuk dołącza do zarządu, Olga Skotnicka kierownikiem nowego biura w Bydgoszczy
Maria Lothamer

Rozwijamy się: Katarzyna Ułasiuk dołącza do zarządu, Olga Skotnicka kierownikiem nowego biura w Bydgoszczy

Ostatni rok to okres szybkiego rozwoju iSecure. Wraz z rosnącą liczbą klientów, którzy nam zaufali, poszerzamy także zespół iSecure i rozwijamy strukturę firmy.   Miło nam poinformować o awansach dwóch doświadczonych konsultantek iSecure. Do zarządu naszej firmy dołączyła Katarzyna Ułasiuk. Została ona również udziałowcem Spółki obok Michała Sztąberka i Marii Lothamer. Chcemy w ten sposób […]

RODO krok po kroku – część 3: obowiązek zgłaszania naruszenia danych osobowych
Michał Sztąberek

RODO krok po kroku, czyli najważniejsze zmiany wprowadzane przez Rozporządzenie Ogólne o Ochronie Danych Osobowych (GDPR) – część 1

Już 25 maja 2018 roku wejdą w życie wielkie zmiany w przepisach o ochronie danych osobowych. Za zaniechania grożą wysokie kary – nawet 4 proc. obrotów z poprzedniego roku. W cyklu wpisów przedstawiamy najważniejsze zmiany, jakie wprowadza Rozporządzenie Ogólne o Ochronie Danych Osobowych.

RODO krok po kroku – część 3: obowiązek zgłaszania naruszenia danych osobowych
Michał Sztąberek

Zasady pracy zdalnej

Biorąc pod uwagę to, że wiele firm (w tym nasi klienci) wybrało przejście w tryb pracy zdalnej, dzielimy się zaleceniami, co do zachowania środków bezpieczeństwa: Na komputerze wykorzystywanym do pracy powinien być zainstalowany program antywirusowy i firewall, które są na bieżąco aktualizowane Należy korzystać ze zaktualizowanych przeglądarek internetowych np. Firefox, Chrome lub Opera; analogicznie system […]

Zapis do newslettera
Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki