Poslovni mejl nije vlasništvo firme? Novo upozorenje regulatora uzdrmalo kompanije

Belgijska agencija za zaštitu podataka ponovo je otvorila pitanje koje mnoge kompanije i dalje zanemaruju – šta se dešava sa službenim mejl adresama zaposlenih nakon njihovog odlaska iz firme.

Prema stavu tamošnjeg regulatora, personalizovana poslovna mejl adresa smatra se ličnim podatkom u smislu GDPR-a (General Data Protection Regulation), pa svako dalje korišćenje ili zadržavanje aktivnog naloga bez pravnog osnova može predstavljati kršenje zakona.

Koliko ovakvi propusti mogu da budu skupi pokazuje slučaj kompanije iz medicinskog sektora koja je kažnjena sa 15.000 evra jer čak dve i po godine nije ugasila naloge bivših direktora. Regulator je ocenio da firma nije imala opravdanje za čuvanje aktivnih naloga, niti je sprovela adekvatne procedure nakon prestanka radnog odnosa.

Prema pravilima, zaposlenom bi poslednjeg radnog dana trebalo deaktivirati poslovni mejl nalog i postaviti automatski odgovor kojim se pošiljaoci obaveštavaju da osoba više nije zaposlena u kompaniji. Takva poruka može ostati aktivna ograničen vremenski period – najčešće od jednog do tri meseca – i to uz znanje bivšeg zaposlenog. Nakon isteka tog roka nalog bi trebalo trajno obrisati.

Posebno osetljivo pitanje odnosi se na pristup sadržaju elektronskog sandučeta. Prema pravilima zaštite podataka, kompanija ne bi smela da pristupa privatnoj komunikaciji zaposlenog, niti poslovni inbox može da tretira kao arhivu firme. Zaposleni bi pre odlaska trebalo da ima mogućnost da pregleda svoj inbox, obriše privatne poruke ili ih prosledi na privatnu adresu.

Ovakva pravila sve češće postaju predmet sporova između bivših zaposlenih i poslodavaca. Stručnjaci upozoravaju da kompanije koje nemaju jasno definisane procedure ulaze u ozbiljan rizik, jer bivši zaposleni mogu da traže naknadu štete zbog nezakonitog rukovanja njihovim podacima.

Kada Poverenik pokrene kontrolu poslovanja neke firme, nije dovoljno samo tvrditi da se posluje u skladu sa zakonom – potrebno je to i dokazati.

Advokat Nevena Petrović kaže za Biznis.rs da ključnu ulogu imaju evidencije radnji obrade podataka.

Trebalo bi beležiti sve procese

Kompanije bi trebalo detaljno da beleže sve procese u kojima obrađuju podatke o ličnosti kako bi u svakom trenutku bilo jasno ko obrađuje podatke, u koje svrhe i na koji način - navodi Petrović.

Transparentnost je, prema njenim rečima, jedan od najvažnijih mehanizama zaštite tokom inspekcijskih kontrola. Takve evidencije podrazumevaju podatke o rukovaocima i licima zaduženim za zaštitu podataka, kategorijama zaposlenih čiji se podaci obrađuju, kao i vrstama primalaca kojima se podaci dostavljaju, uključujući međunarodne organizacije ili primaoce u inostranstvu. Pored toga, potrebno je evidentirati svrhu obrade, rokove čuvanja podataka i planirano brisanje informacija.

Kada postoji povećan rizik po privatnost zaposlenih, kompanije moraju da dokumentuju i bezbednosne mere koje primenjuju. Tu spadaju pseudonimizacija podataka, kriptografska zaštita, redovno testiranje sistema bezbednosti i druge tehničke i organizacione procedure.

Zakon predviđa određene izuzetke za manje kompanije, sa manje od 250 zaposlenih, ali samo pod uslovom da obrada podataka nije redovna, da ne nosi visok rizik po prava građana i da ne uključuje naročito osetljive podatke poput verskih, etničkih ili podataka o krivičnim presudama.

Posebna pažnja posvećena je i postupanju nakon incidenta.

Curenje podataka samo po sebi ne mora automatski da znači najtežu povredu propisa, ali način na koji kompanija reaguje nakon incidenta može biti presudan tokom inspekcijskog nadzora. Svaka povreda podataka mora biti dokumentovana – od načina na koji je do nje došlo, preko posledica koje je izazvala, do mera koje su preduzete kako bi problem bio saniran. Inspekcija pritom očekuje dokaz da kompanija zaštitu podataka tretira kao ozbiljan sistemski proces, a ne kao formalnost - objašnjava sagovornica.

U slučajevima kada postoji rizik po prava i slobode građana, kompanije imaju dodatnu obavezu da o incidentu obaveste Poverenika u roku od 72 sata. Uz prijavu moraju da dostave detaljan opis povrede, vrste kompromitovanih podataka, broj pogođenih osoba, kontakt podatke lica zaduženog za zaštitu podataka, procenu mogućih posledica i opis mera koje su preduzete kako bi šteta bila umanjena.

Bonus video

Instalirajte našu iOS ili android aplikaciju – 24sedam Vest koja vredi