• Magdalena Wikarjak-Górzna, autor |

W ostatnich dniach Prezes Urzędu Ochrony Danych Osobowych (dalej „Prezes UODO”) wydał stanowisko dotyczące korzystania z imiennego adresu e-mail byłego pracownika. Zgodnie ze stanowiskiem Prezesa UODO adres mailowy zawierający imię i nazwisko pracownika należy zaliczyć do zwykłych danych osobowych. Administratorem danych byłego pracownika pozostaje pracodawca.

Do przetwarzania przez niego tych danych niezbędne jest zaistnienie jednej z przesłanek określonych w art. 6 ust. 1 RODO1, do których zalicza się m. in. zgodę, zawarcie umowy, wypełnienie obowiązku prawnego ciążącego na administratorze czy też uzasadniony interes administratora lub osoby trzeciej. W opinii Prezesa UODO w przypadku korzystania z adresu e-mail będzie to właśnie uzasadniony interes administratora, czyli pracodawcy. Prezes UODO odnosi się do korzystania z adresu e-mail jedynie w ograniczonym zakresie, tj. do utrzymania kontaktu z klientami lub kontrahentami oraz poinformowania o nowym adresie kontaktowym.

Do zasad tych zalicza się m.in.: ograniczenie celu przetwarzania lub minimalizację przetwarzanych danych. Ważne jest, by przetwarzanie odbywało się w konkretnym, wyraźnym i prawnie uzasadnionym celu, a także by zakres danych osobowych przetwarzanych na rzecz określonego celu był ściśle ograniczony.

Jeżeli zatem były pracownik był odpowiedzialny m.in. za kontakt z kontrahentami lub klientami, to po zakończeniu współpracy pracodawca może chcieć nadal wykorzystywać ten adres mailowy, aby nie tracić możliwości nawiązania kontaktu z kontrahentami lub klientami. Zastosowanie może znaleźć automatyczna odpowiedź kierowana do nadawcy wiadomości. Jak wskazuje Prezes UODO, jeżeli komunikat zawarty w automatycznej wiadomości obejmuje informację o tym, że dany pracownik nie jest już zatrudniony oraz wskazanie, pod jakim adresem mailowym można kontaktować się z aktualnymi przedstawicielami danego podmiotu, to tego rodzaju działanie można potraktować jako prawnie uzasadniony interes administratora danych.

W ocenie Prezesa UODO prawnie uzasadniony interes pracodawcy jako administratora danych byłego pracownika ma nadrzędny charakter w stosunku do interesów lub podstawowych praw i wolności tego byłego pracownika. Korzystanie z adresu e-mail byłego pracownika może mieć miejsce jedynie wtedy, gdy klient lub kontrahent podejmuje próbę kontaktu i jedynie w celu wskazania aktualnych danych kontaktowych. Adres mailowy zawierający imię i nazwisko byłego pracownika nie może być aktywnie wykorzystywany przez administratora, np. do pozyskiwania nowych klientów.

Obecne stanowisko Prezesa UODO stanowi modyfikację stanowiska zaprezentowanego w poradniku dotyczącym zatrudnienia, opublikowanym w październiku 2018 roku.

W poradniku Prezes UODO zalecał, aby usunąć adres e-mail z chwilą zakończenia stosunku pracy, a przed usunięciem konta przekazać wszystkie dane związane z wykonywaną pracą pracodawcy. Poinformowanie klientów lub kontrahentów o zakończeniu relacji z danym pracownikiem miało być rozwiązane poprzez zobowiązanie pracownika do skontaktowania się z tymi osobami, celem poinformowania ich o usunięciu adresu e-mail. Dodatkowo w poradniku zalecano, aby po zakończeniu współpracy pracodawca tak skonfigurował serwer poczty, aby korespondencja była przekierowana na inny adres, a także żeby nadawca otrzymywał zwrotną wiadomość informującą, że nie ma takiego użytkownika.

Obecnie zaprezentowane stanowisko zawiera praktyczne wskazówki dla przedsiębiorców, w szczególnej sytuacji gdy pracodawca nie miał możliwości płynnego poinformowania klientów lub kontrahentów o zakończeniu współpracy z danym pracownikiem (np. z uwagi na rozwiązanie umowy o pracę bez zachowania okresu wypowiedzenia). Konieczność zobowiązania pracownika do poinformowania klientów lub kontrahentów nie odzwierciedlała realiów sytuacji i utrudniała prowadzenie zwykłej działalności. Opierając się na obecnym stanowisku Prezesa UODO, pracodawca może bez konieczności angażowania byłego pracownika poinformować o nowej osobie do kontaktu, korzystając z dotychczasowego adresu. 

 

1 Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).