A Nemzeti Adatvédelmi és Információszabadság (NAIH) weboldalán sajnos a hatóság megalakulása óta az a bevett gyakorlat, hogy Péterfalvi Attila döntéseit, határozatait nem közvetlenül a meghozataluk után, hanem – látszólag teljesen véletlenszerű sorrendben – sok hónapos, időnként éves késéssel hozzák nyilvánosságra.
Így történt ez egy frissen közzétett dokumentum esetében is, ugyanis az ügyben a hatóság vezetője még 2021 elején hozta meg döntését. A hosszan ismertetett és elemzett eljárás még korábbi, 2020 nyarán indult.
Vétkes és bűnös
A vitatott esetben egy munkahelyi, illetve egy magánfiók adatainak kezeléséről van szó, az eljárás végén a NAIH – egyéb kötelezettségek megállapítása mellett – kétmillió forint bírságot szabott ki a munkaadóra az adatvédelmi előírások megsértéséért. A szövevényes történetet igyekszünk erősen lerövidítve ismertetni.
A hatósághoz forduló kérelmezőnek 2020 máricusában (a munkáltató szerint áprilisban) szűnt meg a munkaviszonya, a céges laptopot és mobiltelefont visszaszolgáltatta. Állítása szerint alaposan ellenőrizte, a magánjellegű információkat törölte, a használt, jelszóval védett szolgáltatásokból – így a Gmail levelezésből is – kilépett. Ám azt tapasztalta, hogy a munkáltató nem szüntette meg az adott, munkavégzésre használt e-mail fiókot, mivel a magán címére ezek után is kapott olyan leveleket, amelyek eredetileg a munkahelyibe érkeztek.
A munkáltató ezzel szemben azt állítja, hogy az eszközök átállításakor vették észre, hogy a ki nem jelentkezett fiók aktív, annak tartalmát „szándéktalanul” megismerték. Erről az incidensről jelentést is tettek a NAIH-nál, és megemlítik azt is, hogy a munkavállaló a kilépés után, a felmondási idő alatt is közölt céges információkat a konkurenciával.
A felperes vitatta a munkáltató állítását, szerinte semmiféle szándéktalanságról nem lehet szó, sokkal inkább arról, hogy a hozzáférését és a fiókot nem szüntették meg, és az adatokat ismerve használták a fiókot.
A munkáltató ezt vitatta, és közölték, hogy egy üzletinek vélt fiók tartalmát ellenőrizték, és akkor vették észre, hogy a gép, illetve fiók a munkavállaló magánlevelezését is tartalmazza, amelynek megismeréséhez viszont már nem volt joguk. Ekkor fedezték fel, hogy a munkavállaló üzleti titkokat adott ki harmadik félnek.
A következő eljárás során igen bonyolult helyzet állt elő, melyet kb. így lehet összefoglalni: a munkavállaló munkaviszonya idején egy bevett gyakorlat szerint – ha nem érte el a céges levelezőrendszert vagy ha így gyorsabb volt – egy Gmail fiókját is használta üzleti levelezésre. Ez a fiók is be volt üzemelve a céges eszközökön, a cím hasonló volt az üzletihez, és a munkáltató állítása szerint a gépek átállításakor azt tapasztalták, hogy a felhasználó innen nem jelentkezett ki, és azt hitték, hogy céges fiók, ugyanis a munkaszerződés szerint az eszközöket nem használhatta magáncélra. A felfedezett információk alapján – a NAIH-nak történő jelzés után – büntetőfeljelentést is tettek üzleti titok megsértése miatt.
Az ügyben hozott határozat és annak indoklása legalább annyira komplex és bonyolult, mint maga a vizsgálat.
A hatóság az üzleti titok megsértésével természetesen nem foglalkozott, ez kívül esik a hatáskörén: csak azt vizsgálhatták, hogy adatvédelmi szempontból mi volt jogszerű és mi nem. A lényeg: bár a munkáltató jogszerűen végzett ellenőrzést a tulajdonában lévő eszközökön, nem tett meg mindent az ellenőrzés lefolytatásának teljes jogszerűsége érdekében. Így az enyhítő körülményeket is figyelembe véve a munkáltató vétkes egyes adatvédelmi előírások megsértésében, legfőképpen a tájékoztatási kötelezettség megfelelő alkalmazásában, illetve a magánlevelezés jogosulatlan megismerésében.