Pracodawca wykorzystuje adres e-mail byłego pracowika, który zawiera imię i nazwisko – na jakich podstawach odbywa się to przetwarzanie danych?

Przetwarzanie danych osobowych

Zgodnie z art. 6 ust. 1 RODO, imienny adres e-mail zawiera dane, które określamy jako „dane zwykłe”. Mamy możliwość przetwarzania danych, jeśli spełnimy jedną z przesłanek:

a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;

b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;

c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;

d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;

e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;

f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią. Z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych. W szczególności gdy osoba, której dane dotyczą, jest dzieckiem.

Akapit pierwszy lit. f) nie ma zastosowania do przetwarzania, którego dokonują organy publiczne w ramach realizacji swoich zadań.

Administrowanie danymi byłych pracowników

Jeśli pracodawca – po zakończeniu pracy danej osoby – posiada aktywny adres pracownika, to nadal pozostaje administratorem danych. Odbywa się to na bazie art. 4 ust.7 RODO. Rozporządzenie uznaje za administratora danych podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. Gdy przetwarzamy imienny adres e-mail byłego pracownika przesłanką może być realizacja prawnie uzasadnionego interesu administratora zgodnie z art. 6 ust. 1 lit. f Rozporządzenia RODO.

Proces przetwarzania danych osobowych musi być zgodny z zasadami ustawionymi w art. 5 ust. 1 RODO:

a) Zgodność z prawem, rzetelność i przejrzystość

Przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą.

b) Ograniczenie celu

Zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami. Dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane w myśl art. 89 ust. 1 za niezgodne z pierwotnymi celami.

c) Minimalizacja danych

Adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane.

d) Prawidłowość

Prawidłowe i w razie potrzeby uaktualniane. Należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane.

e) Ograniczenie przechowywania

Przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane; dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych na mocy art. 89 ust. 1, z zastrzeżeniem że wdrożone zostaną odpowiednie środki techniczne i organizacyjne wymagane na mocy niniejszego rozporządzenia w celu ochrony praw i wolności osób, których dane dotyczą.

f) Integralność i poufność

Przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych.

Wykorzystywanie adresu pracownika do ponownego kontaktu

Rozważmy kolejny aspekt opisywanej sytuacji. Pracodawca miał podpisaną umowę z byłym pracownikiem, który był odpowiedzialny za kontakt z kontrahentami. Po ustaniu stosunku pracy pracodawca chce nadal wykorzystywać adres do dalszego kontaktu z klientami, wykorzystując imienny adres e-mail. Pracodawca ustawia w autoresponder pod adresem byłego pracownika, tak aby poinformować klientów o zmianie osoby kontaktowej. W ocenie PUODO zachodzi tu przesłanka, według której to działanie ujmujemy jako prawnie uzasadniony interes administratora danych. Pracodawca może wykorzystywać dane byłego pracownika jedynie w sytuacji, gdy klient podejmuje próbę kontaktu. A także w celu wskazania aktualnych danych kontaktowych do nowego konsultanta. Adresu pracownika, który zakończył współpracę z firmą, nie można wykorzystywać w celu pozyskiwania nowych klientów.

Administrator danych musi mieć świadomość, że prawnie uzasadnione interesy mogą stanowić podstawę do przetwarzania, gdy mają nadrzędny stosunek do interesów lub podstawowych praw i wolności osób, których dotyczą.

Chcesz dowiedzieć się więcej o funkcjonalnościach oprogramowania RODOprotektor – wyślij nam wiadomość!