Šta uraditi sa e-mailom zaposlenog kada ode iz firme – i zašto vas to može koštati 15.000 evra?

Belgijska agencija za zaštitu podataka još jednom je otvorila pitanje koje mnoge kompanije i dalje ignorišu – šta se dešava sa službenim e-mail adresama zaposlenih nakon njihovog odlaska iz firme.

Prema stavu tamošnjeg regulatora, personalizovana e-mail adresa predstavlja lični podatak u smislu GDPR-a (General Data Protection Regulation), pa svako dalje korišćenje ili zadržavanje aktivnog naloga bez pravnog osnova može predstavljati kršenje zakona.

Koliko ovakvi propusti mogu biti skupi pokazuje slučaj jedne kompanije iz medicinskog sektora koja je kažnjena sa 15.000 evra jer čak dve i po godine nije ugasila naloge bivših direktora. Regulator je ocenio da firma nije imala opravdanje za čuvanje aktivnih naloga, niti je sprovela odgovarajuće procedure nakon prestanka radnog odnosa.

Prema propisima – poslednjeg radnog dana zaposlenom bi trebalo deaktivirati poslovni e-mail nalog i postaviti automatski odgovor koji obaveštava pošiljaoce da osoba više nije zaposlena u kompaniji. Taj automatski odgovor može ostati aktivan ograničen vremenski period – najčešće između jednog i tri meseca – i to uz znanje bivšeg zaposlenog. Nakon isteka tog roka nalog bi trebalo trajno obrisati.

Posebno osetljivo pitanje odnosi se na pristup sadržaju elektronskog sandučeta. Prema pravilima zaštite podataka, kompanija ne bi smela da pristupa privatnoj komunikaciji zaposlenog, niti se poslovni inbox može tretirati kao arhiva dokumentacije firme. Zaposleni pre odlaska mora imati mogućnost da pregleda svoj inbox, obriše privatne poruke ili ih prosledi na privatnu adresu.

Ovakva pravila sve češće postaju predmet sporova između bivših zaposlenih i poslodavaca. Stručnjaci upozoravaju da kompanije koje nemaju jasno definisane procedure ulaze u ozbiljan rizik, jer bivši zaposleni mogu tražiti naknadu štete zbog nezakonitog rukovanja njihovim podacima.

Kada Poverenik pokrene kontrolu poslovanja neke firme, nije dovoljno tvrditi da se posluje u skladu sa zakonom – potrebno je to i dokazati.

Advokat Nevena Petrović kaže za Biznis.rs da glavnu ulogu u tome imaju evidencije radnji obrade podataka.

„Kompanije bi trebalo detaljno da beleže sve procese u kojima obrađuju podatke o ličnosti kako bi u svakom trenutku bilo jasno ko obrađuje podatke, u koje svrhe i na koji način“, navodi Petrović.

Transparentnost je, prema njenom mišljenju, jedan od najvažnijih mehanizama zaštite tokom inspekcijskih kontrola. Takve evidencije podrazumevaju podatke o rukovaocima i licima zaduženim za zaštitu podataka, kategorijama zaposlenih čiji se podaci obrađuju, vrstama primalaca kojima se podaci dostavljaju, uključujući i međunarodne organizacije ili primaoce u inostranstvu. Pored toga, potrebno je evidentirati svrhu obrade, rokove čuvanja podataka i planirano brisanje informacija.

Kada postoji povećan rizik po privatnost zaposlenih, kompanije moraju dokumentovati i bezbednosne mere koje primenjuju. Tu spadaju pseudonimizacija podataka, kriptografska zaštita, redovno testiranje sistema bezbednosti i druge tehničke i organizacione procedure.

Zakon predviđa određene izuzetke za manje kompanije, sa manje od 250 zaposlenih, ali samo pod uslovom da obrada podataka nije redovna, ne nosi visok rizik po prava građana i ne uključuje naročito osetljive podatke poput verskih, etničkih ili podataka o krivičnim presudama.

Posebna pažnja posvećena je i postupanju nakon incidenta.

„Curenje podataka samo po sebi ne mora automatski značiti najtežu povredu propisa, ali način na koji kompanija reaguje nakon incidenta može biti presudan tokom inspekcijskog nadzora. Svaka povreda podataka mora biti dokumentovana – od načina na koji je do nje došlo, preko posledica koje je izazvala, do mera koje su preduzete kako bi se problem sanirao. Inspekcija pritom očekuje dokaz da kompanija zaštitu podataka tretira kao ozbiljan sistemski proces, a ne kao formalnost“, objašnjava naša sagovornica.

U slučajevima kada postoji rizik po prava i slobode građana, kompanije imaju dodatnu obavezu da o incidentu obaveste Poverenika u roku od 72 sata. Uz prijavu moraju dostaviti detaljan opis povrede, vrste kompromitovanih podataka, broj pogođenih osoba, kontakt podatke lica zaduženog za zaštitu podataka, procenu mogućih posledica i opis mera koje su preduzete kako bi se šteta umanjila.