Фирмен имейл и защита на личните данни: какво трябва да знаете според GDPR

Приблизително време за четене: 2m 5s

Фирменият имейл често е основен канал за работна комуникация. Но макар да е собственост на работодателя, той съдържа информация, свързана с конкретен човек. Именно това го поставя под защитата на Общия регламент за защита на данните (GDPR).

Ако темата ви е важна, научете всичко необходимо чрез нашето онлайн обучение по защита на личните данни. Запишете се още днес в Курса за защита на лините данни и бъдете подготвени.

Според чл. 4 от GDPR, всеки служебен имейл адрес, който включва лично име или идентифицира конкретно лице (напр. georgi.petrov@firma.bg), представлява лични данни. Това означава, че всяка обработка на такава информация – четене, съхранение, препращане – трябва да отговаря на строгите изисквания на GDPR.

Какво означава това за работодателя?

Работодателите са администратори на лични данни. Те отговарят за законосъобразното, прозрачно и сигурно обработване на служебни имейли. Според насоките на КЗЛД, включително в Бюлетин №3/2025, работодателите трябва:

• да информират служителите как се използват служебните имейли;

• да създадат ясна вътрешна политика за електронната комуникация;

• да обосноват всяко наблюдение или достъп до имейли с легитимна цел;

• да предприемат мерки за ограничаване на достъпа до имейли на напуснали служители.

В Решение № Ж-63-146/2022 г., КЗЛД установява нарушение поради липса на вътрешна регулация за достъпа до служебна поща след напускане, подчертавайки нуждата от предвидимост и правна сигурност.

А служителите – какво могат да очакват?

Служителите имат право:

• да знаят дали имейлите им се наблюдават;

• да бъдат уведомени за целите и обхвата на обработката;

• да подадат възражение срещу прекомерно следене;

• да търсят съдействие от КЗЛД при нарушение;

• да изискат изтриване на лични съобщения, когато това е обосновано.

Законен ли е достъпът до служебната поща?

Не съществува еднозначен отговор – всичко зависи от контекста. Съдебната практика, включително решението Bărbulescu срещу Румъния (2017), поставя акцент върху принципите на прозрачност, пропорционалност и необходимост.

За да бъде законен достъпът:

• служителят трябва да бъде информиран;

• контролът да се извършва само при обоснована нужда;

• да не се засягат лични комуникации.

Примери от практиката на КЗЛД

В Решение № Ж-204-252/2021 г., КЗЛД постановява, че достъп до електронна поща на напуснал служител, без регламентирана процедура, нарушава GDPR. Подобна позиция е заета и в Решение № Ж-226-204/2020 г., където автоматично пренасочване на имейли след напускане е счетено за нарушение.

Тези казуси показват, че дори когато имейлът е „служебен“, неправомерният достъп до него може да доведе до сериозни санкции.

Как да се спазват правилата – добри практики

За работодателя:

• Въведете политика за електронна комуникация;

• Уточнете дали и какво наблюдение се извършва;

• Избягвайте автоматичен достъп до имейли след напускане;

• Назначете лице по защита на личните данни (DPO), ако се изисква.

За служителя:

• Използвайте служебния имейл само за работа;

• Не съхранявайте чувствителни лични съобщения там;

• Запознайте се с вътрешните политики на фирмата;

• Използвайте алтернативна комуникация за лични теми.

Какво трябва да се промени в организациите?

Фирмите трябва:

• да осигурят правна съвместимост между ИТ системи и GDPR;

• да поддържат регистър на дейностите по обработване;

• да провеждат вътрешни обучения по защита на личните данни;

• да правят редовни оценки на риска.

Заключение: баланс между контрол и доверие

Защитата на личните данни в служебната електронна поща не е просто формалност. Тя е ключов аспект от културата на доверие и спазване на закона. GDPR не цели да ограничи бизнеса, а да постави ясни правила – както за работодателя, така и за служителя.

 Запишете се още днес в Курса за защита на лините данни и бъдете подготвени,  aко искате да разберете повече за правата и задълженията по GDPR, включително в контекста на работното място.