Mnogi poslodavci se pitaju smiju li imati uvid u poslovni e-mail zaposlenika – ovdje možete pročitati uputu AZOP-a:
https://azop.hr/najcesce-postavljena-pitanja/
Poslodavac traži uvid u moju poslovnu e-poštu? Je li to zakonito? U ovom blogu obradit ćemo temu iz dva kuta, jedan je kut poslodavca, a drugi samog zaposlenika. Pa krenimo redom…
Poslodavac može izvršiti uvid u poslovnu e-poštu kako bi zaštitio određena prava i interese organizacije, ali i kako bi se zaštitio od mogućih nezakonskih ˝poteza˝ zaposlenika. Dakle, jednostavno je – kao poslodavac možete gledati i ˝nadgledati” poslovnu e-poštu zaposlenika. No, ukoliko to radite morate voditi računa o postojanju ravnoteže između interesa poslodavca i prava na privatnost zaposlenika, odnosno kao poslodavac prije takve obrade morate zadovoljiti određene uvjete. U internom aktu morate propisati kada (pod kojim okolnostima i u koje svrhe će se poslovna e-pošta moći nadgledati.
Samo iznimne okolnosti (primjerice; sigurnosni incidenti, povreda radne dužnosti, odavanje poslovnih informacija konkurentu ili nekoj trećoj strani, sumnja na mobbing) mogu opravdati uvođenje nadzora sadržaja elektroničke komunikacije zaposlenika, osobito ako vrijednost dobra koje se želi zaštititi spomenutim nadzorom i stupanj ugroze koji mu prijeti prevladava nad pravom na zaštitu privatnosti.
Uvažavajući specifičnosti radnog odnosa između zaposlenika i poslodavca traženje privole zaposlenika/potencijalnih zaposlenika bilo bi samo forma, a izostanak privole mogao bi dovesti zaposlenike u neravnopravan položaj. Dakle, privola nikako ne bi bila valjani pravni osnov u ovakvim slučajevima.
Nadzor elektroničke pošte mogu opravdati samo iznimne okolnosti i u slučaju uvođenja takvog nadzora isti je nužno detaljno propisati internim aktom. Morate pravodobno i na pravilan način obavijestiti zaposlenike, nije dovoljno sve navesti u internom aktu od 20 ili 60 stranica. Što je sa zaposlenicima?
Zaposlenik koji ima pristup internetu u vrijeme radnog vremena prije svega treba biti upoznat s tehničkim i organizacijskim mjerama zaštite koje su poduzete od strane poslodavca, s načinom upotrebe službenog e-maila, pod kojim uvjetima se mogu koristiti službeni mailovi za privatne potrebe (i smiju li se), smiju li se koristiti privatne e-mail adrese za vrijeme radnog vremena, koji je postupak za otvaranje službenog e-maila od strane poslodavca u slučaju duljeg odsustva radnika ili u slučaju boravka kod kuće, način postupanja s e-mail adresom nakon prestanka radnog odnosa i način obavještavanja radnika o eventualno provedenim procedurama nakon njegova odlaska.
Nakon odlaska zaposlenika novu osobu ovlastit ćete na pristup toj kategoriji podataka, ukoliko ista to ovlaštenje nema do sada. Napravit ćete back up mailova bivšeg zaposlenika, promijeniti šifre, otvoriti novo korisničko ime i lozinke. Ovo nisu jedine obveze koje imate. Vaše obveze ovise i o tome čime se bavite, na kojem radnom mjestu je bio zaposlenik i sl.
Zaposlenik bi o svemu (svim postupcima) trebao biti obaviješten već prilikom samog zapošljavanja, a isto je preporuka upoznati zaposlenika s politikom i svim procesima organizacije. Potrebno je istaknuti da onda kada poslodavac zadržava i uređuje pravo pristupa e-mailu svog zaposlenika, mora strogo zabraniti upotrebu službenog e-maila u privatne svrhe ili organizirati to na način da kod pristupa privatnoj korespondenciji ne dođe do kršenja privatnosti zaposlenika.
Prilikom odlaska radnika iz tvrtke moguća je situacija da je potrebno sačuvati određeni sadržaj iz e-mail pretinca ili nastaviti poslovnu korespondenciju s te e-mail adrese.
Smijemo li zadržati e-mail adresu bivšeg zaposlenika? Smijemo li ju nastaviti koristiti?
U nastavku donosimo mišljenje slovenskog nadzornog tijela:
https://www.ip-rs.si/novice/po-odhodu-zaposlenega-njegov-e-naslov-ne-sme-ostati-aktiven
Na temelju velikog broja zaprimljenih prijava povjerenik za informiranje („informacijski pooblaščenec“) je utvrdio da mnoge tvrtke i organizacije ne postupaju ispravno s e-mail adresama bivših zaposlenika. Po prestanku radnog odnosa poslodavac je dužan bivšem zaposleniku deaktivirati elektronički poštanski sandučić zbog prestanka zakonske osnove obrade (članak 48. Zakona o radnim odnosima (Slo)) odnsono osnove za njegovo postojanje. Time će se osigurati točnost i ažurnost podataka, jer adresa s imenom bivšeg zaposlenika ne odgovara stvarnom stanju. Povjerenik za informiranje upozorava da je nedopustivo da poslodavac nakon prestanka radnog odnosa samo zadrži aktivnu e-mail adresu bivšeg zaposlenika preusmjeravanjem njegove pošte na e-mail adresu drugog zaposlenika, ukoliko postoje druge manje invazivne metode obrade
Preusmjeravanje e-mailova nije jedini način osiguravanja kontinuiteta poslovanja i poslovne komunikacije s klijentima, klijentima i poslovnim partnerima tvrtke. Naime, poslodavac bi mogao osigurati kontinuitet rada na drugi zakonit način, ne ometajući privatnost komunikacije, npr. ukidanjem e-mail adrese bivšeg zaposlenika i istovremeno automatskom obavijesti o nepostojanju te adrese i pružanjem informacija o tome gdje i kome se obratiti.
Prije i u suradnji s zaposlenikom, poslodavac mora osigurati da se poslovne poruke prenesu, na primjer, u zajednički e-mail pretinac ili na drugi način objave i učine dostupnima zaposleniku ili zaposlenicima koji će nastaviti raditi na ovom sadržaju. Međutim, zaposlenik u odlasku mora biti u mogućnosti izbrisati privatne poruke i dokumente privatne prirode (ukoliko je na taj način odnosno u privatne svrhe smio koristiti poslovnu e-poštu) ili ih spremiti na drugi medij (CD, USB, itd.) iz radnog e-mail pretinca i s računala te obavijestiti svoje privatne kontakte da ova e-mail adresa više neće biti dostupna. Zaposlenik ne smije kopirati niti na bilo koji drugi način preuzimati poslovne kontakte ili si spremiti na privatni medij poslovne dokumente.
Više informacija možete pronaći u Smjernicama o zaštiti osobnih podataka u radnim odnosima koje su dostupne ovdje.
Tvrtka u Belgiji kažnjena je sa 15 tisuća eura zbog toga što nije zatvorila adresu elektroničke pošte bivšeg zaposlenika. U predmetnom slučaju, prošle su dvije i pol godine otkako je zaposlenik napustio tvrtku, a njegova adresa elektroničke pošte još je uvijek bila aktivna (u tehničkom smislu, nije bila deaktivirana).
Belgijsko nadzorno tijelo navodi da bi voditelj obrade trebao onemogućiti korištenje e-maila (bivšeg) zaposlenika (ispitanika) najkasnije u trenutku kad zaposlenik napušta radno mjesto te ga o tome treba unaprijed obavijestiti.
Voditelj obrade mora omogućiti automatske poruke kojima obavještava osobe koje pokušavaju komunicirati sa zaposlenikom da je osoba koju pokušavaju kontaktirati napustila tvrtku.
U kojem roku deaktivirati e-mail adresu
Cijeli poštanski sandučić, kao i ranije spomenuta automatska poruka, moraju biti u potpunosti obrisani u razumnom roku, a belgijsko nadzorno tijelo preporuča da to bude najkasnije mjesec dana od odlaska zaposlenika. Napominju i da je moguće taj rok produžiti u slučaju kad iz tvrtke odlazi osoba koja je imala veliki opseg odgovornosti, no rok nikako ne bi trebao biti duži od tri mjeseca otkako je zaposlenik napustio tvrtku. Ovakvo zadržavanje poštanskog sandučića bivšeg zaposlenika može se smatrati legitimnim interesom tvrtke.
Prije deaktivacije e-mail računa potrebno je o tome obavijestiti zaposlenika koji je na odlasku kako bi imao dovoljno vremena pretražiti elektroničke poruke te privatne poruke proslijediti na svoju privatnu e-mail adresu prije nego što napusti tvrtku.
Kako bi se izbjegla potreba za pristupanjem poštanskom sandučiću nakon što je zaposlenik napustio tvrtku, elektroničke poruke koje su važne za nesmetano poslovanje organizacije trebaju se izdvojiti od ostale pošte prije nego što zaposlenik napusti tvrtku i to isključivo uz prisutnost tog zaposlenika.
Još jednu kaznu možemo pronaći i u Norveškoj – pozadina ovog slučaja je pritužba bivšeg zaposlenika koji je otkrio da je njegov bivši poslodavac pristupio njegovom računu e-pošte.
Poduzeće nije ispunilo svoju dužnost pružanja informacija (članak 13. GDPR-a), svoju dužnost da izbriše sadržaj računa podnositelja pritužbe (članak 17.) i svoju dužnost da razmotri pritužbe zaposlenika (članak 21.).
Također, nisu bile uspostavljene procedure za pristup e-mailovima. Norveško tijelo za zaštitu podataka ističe da bi uspostavljanje procedura stvorilo svijest o ovom problemu i promicalo poštivanje propisa. Na temelju toga, poduzeću je naloženo da uspostavi mjere interne kontrole i procedure za pristup e-mailu zaposlenika i bivših zaposlenika. Izrečena je kazna u iznosu od 15.000 eura.
Možda vam se iznosi ne čine velikima, no oni ovise o puno parametara stoga budite pažljivi i procijenite je li rizik i iznos ikakve kazne za vas prihvatljiv.