Mnogi ljudi u današnjem digitalnom svijetu često posežu za poslovnim mailom i kada nije riječ o nečemu što ima veze s poslom. Mnogima je praktičnije, to je jedini mail koji prate svaki dan, i znaju ako čekaju nešto bitno da će na njemu to vidjeti. Prijava djeteta u sportski klub ili na plesni tečaj, kontakt za online narudžbu… često na pitanje “koji je vaš mail” dajemo onaj koji koristimo svaki dan.
Smije li se to raditi, što ako prekinemo radni odnos u tvrtki na koju glasi mail, i kakav uvid smije imati poslodavac u poruke koje razmjenjujemo putem tog maila, pojasnila je za Women in Adria odvjetnica Ana Bačić Gregurić.
Sredstvo za rad
“Ako radnik koristi poslovni e‐mail za privatne potrebe, to ne mijenja činjenicu da je poslovni e‐mail u vlasništvu poslodavca”, upozorila je Bačić Gregurić. “To je sredstvo rada koje poslodavac daje na korištenje radniku radi obavljanja poslova iz ugovora o radu. Zato je svrha poslovnog e‐maila poslovna komunikacija, a ne ugovaranje privatnih usluga, aktivnosti djece ili drugih osobnih obaveza”, kazala je i dodala kako poslodavac smije propisati pravila korištenja e-maila, isto kao i pravila korištenja službenog vozila, službene kartice ili druge opreme.
Iako je poslodavac vlasnik e-maila, Bačić Gregurić ističe da je njegovo pravo nadzora ograničeno nizom propisa, od Ustava RH, preko Europske konvencije za zaštitu ljudskih prava, GDPR uredbe, Zakona o radu i drugih.
Pročitajte više: 3 jednostavna poteza uz koja ćete osloboditi prostor za pohranu na Gmailu
Nadzor treba ograničiti
“Nadzor sadržaja poruka mora imati zakonitu i opravdanu svrhu te je dopušten samo u iznimnim situacijama, primjerice kod sumnje na težu povredu radne obveze, odavanje poslovnih tajni, sigurnosnih incidenata, ako vrijednost dobra koje se želi zaštititi nadzorom i stupanj ugroze koji mu prijeti prevladava nad potrebom zaštite privatnosti”, kazala je.
Bačić Gregurić je navela stajalište Agencije za zaštitu osobnih podataka (AZOP) iz listopada 2019., prema kojem bi se nadzor trebao ograničiti, kad god je moguće, samo na prometne podatke zaposlenika i vrijeme komunikacije, a ne na sadržaj poruka.
“Također, radnici moraju biti prethodno obaviješteni o opsegu i prirodi praćenja od strane njegova poslodavca ili o mogućnosti da poslodavac može imati pristup stvarnom sadržaju njegovih poruka”, naglasila je, dodavši kako nije dovoljno da se mogućnost nadzora samo predvidi Pravilnikom o radu poslodavca.
“U svakom slučaju provođenja nadzora poslodavac je dužan unaprijed jasno informirati radnika o načinu i opsegu nadzora, urediti postupak nadzora pravilnikom ili drugim internim aktom te osigurati da pristup prikupljenim osobnim podacima imaju isključivo za to ovlaštene osobe”, kazala je Bačić Gregurić i savjetovala da se u tim slučajevima zatraži i mišljenje AZOP-a.
Nadzor osobnih poruka
Navela je kao primjer prakse Europskog suda za ljudska prava presudu Bărbulescu protiv Rumunjske, u kojoj je bilo sporno smije li poslodavac nadzirati radnikov Yahoo Messenger na poslovnom računalu i koristiti sadržaj tih poruka kao dokaz za otkaz zbog kršenja zabrane privatne uporabe poslovnog e-maila.
U prvostupanjskoj presudi, Europski sud je presudio u korist poslodavca, jer je uporaba interneta za osobne potrebe bila izričito zabranjena u aktima poslodavca, a Bărbulescu je pisanim putem potvrdio da koristi Messenger samo u poslovne svrhe.
Međutim, Veliko vijeće je u žalbi utvrdilo povredu članka 8., koji propisuje pravo na privatni i obiteljski život, dom i dopisivanje. Argument je bio da radnik nije bio jasno obaviješten o opsegu nadzora, to jest o mogućnosti pristupa sadržaju komunikacije, te da nacionalni sudovi nisu dovoljno ispitali je li se cilj poslodavca mogao ostvariti manje nametljivim metodama.
“Čak šest sudaca dalo je izdvojeno mišljenje, što pokazuje da je ovo područje pravno složeno i da zahtijeva pažljivo provođenje testa razmjernosti interesa poslodavca i prava radnika u svakom pojedinom slučaju”, kazala je Bačić Gregurić.
Nakon otkaza
Što se događa kada dođe do prestanka radnog odnosa? Do kada radnik ima pravo pristupati svojem mailu, i može li zamoliti poslodavca da mu prosljeđuje osobne poruke ako pristižu na njega?
Što se tiče AZOP-a, pitanje je vrlo jednostavno. Bačić Gregurić je kazala kako je u rješenju iz svibnja 2023. Agencija dala uputu svim poslodavcima da se službeni e-mail radnika deaktivira odmah po prestanku radnog odnosa, iz niza opravdanih razloga.
Između ostalog, kako se radnik više ne bi dovodio u vezu s poslodavcem i kako bi se zaštitili poslovni interesi poslodavca – da se ne bi dogodilo da netko bude doveden u zabludu oko toga u čije je ime poslan e-mail, ali i kako bi se zaštitili osobni podaci radnika koje uobičajeno sadrže poslovni e-mailovi.
Bačić Gregurić ističe i kako ne postoji nikakva zakonska odredba koja bi obvezivala poslodavca da bivšem radnik da uvid u poslovni e-mail kako bi provjerio svoje privatne poruke, ili da mu ih prosljeđuje.
Ukradene kriptovalute
Navodi zanimljivu presudu Visokog suda Irske u slučaju McShane v Data Protection Commission, u kojem je sud potvrdio da poslodavac nije voditelj obrade za osobne podatke koje je zaposlenik pohranio na uređaj poslodavca mimo internih pravila.
“Irska zdravstvena služba (HSE) bila je žrtva ransomware napada”, opisala je Bačić Gregurić slučaj. “Zaposlenik je na službenom mobitelu držao privatni kripto‐novčanik. Nakon napada otkrio je da mu je ukradena kriptovaluta u vrijednosti od 1400 eura. Podnio je pritužbu Komisiji za zaštitu osobnih podataka tvrdeći da je HSE kao njegov poslodavac odgovoran jer se napad dogodio na službenom uređaju. Komisija je odbila njegov zahtjev jer radnik nije smio pohranjivati privatne podatke na službeni uređaj bez znanja i dopuštenja poslodavca, budući da je to bilo protivno HSE‐ovoj ICT politici. HSE nije određivao svrhu ni sredstva obrade tih privatnih podataka, stoga nije voditelj obrade u smislu GDPR‐a”, zaključila je.
Bačić Gregurić je kazala kako postojeći propisi ne propisuju izričito namjenu korištenja poslovnih e-mailova, no napominje da svrha njihove uporabe proizlazi iz same naravi radnog odnosa.
“Uz to, sve izraženiji regulatorni zahtjevi u području zaštite osobnih podataka, kibernetičke sigurnosti i drugih područja daju poslodavcu osnovu da upravlja i štiti svoje resurse, uključujući i ograničavanje načina korištenja poslovnih komunikacijskih sredstava, uz zaštitu privatnosti radnika”, kazala je, i dodala kako bi poslodavci trebali jasno propisati pravila korištenja poslovnog e-maila internim aktom, i s njime unaprijed upoznati radnike.
Foto: Marin Sušić, Nano Banana (Ilustracija)
