Фирмен имейл и защита на личните данни: какво трябва да знаете според GDPR

Фирменият имейл е средство за комуникация, но и източник на лични данни. Разберете какво казва GDPR, какви са правата на служителите и задълженията на работодателите, с примери от практиката на КЗЛД.

Приблизително време за четене: 2m 5s

Фирменият имейл често е основен канал за работна комуникация. Но макар да е собственост на работодателя, той съдържа информация, свързана с конкретен човек. Именно това го поставя под защитата на Общия регламент за защита на данните (GDPR).

Ако темата ви е важна, научете всичко необходимо чрез нашето онлайн обучение по защита на личните данни. Запишете се още днес в Курса за защита на лините данни и бъдете подготвени.

Според чл. 4 от GDPR, всеки служебен имейл адрес, който включва лично име или идентифицира конкретно лице (напр. georgi.petrov@firma.bg), представлява лични данни. Това означава, че всяка обработка на такава информация – четене, съхранение, препращане – трябва да отговаря на строгите изисквания на GDPR.

Какво означава това за работодателя?

Работодателите са администратори на лични данни. Те отговарят за законосъобразното, прозрачно и сигурно обработване на служебни имейли. Според насоките на КЗЛД, включително в Бюлетин №3/2025, работодателите трябва:

да информират служителите как се използват служебните имейли;
да създадат ясна вътрешна политика за електронната комуникация;
да обосноват всяко наблюдение или достъп до имейли с легитимна цел;
да предприемат мерки за ограничаване на достъпа до имейли на напуснали служители.

В Решение № Ж-63-146/2022 г., КЗЛД установява нарушение поради липса на вътрешна регулация за достъпа до служебна поща след напускане, подчертавайки нуждата от предвидимост и правна сигурност.

А служителите – какво могат да очакват?

Служителите имат право:

да знаят дали имейлите им се наблюдават;
да бъдат уведомени за целите и обхвата на обработката;
да подадат възражение срещу прекомерно следене;
да търсят съдействие от КЗЛД при нарушение;
да изискат изтриване на лични съобщения, когато това е обосновано.

Законен ли е достъпът до служебната поща?

Не съществува еднозначен отговор – всичко зависи от контекста. Съдебната практика, включително решението Bărbulescu срещу Румъния (2017), поставя акцент върху принципите на прозрачност, пропорционалност и необходимост.

За да бъде законен достъпът:

служителят трябва да бъде информиран;
контролът да се извършва само при обоснована нужда;
да не се засягат лични комуникации.

Примери от практиката на КЗЛД

В Решение № Ж-204-252/2021 г., КЗЛД постановява, че достъп до електронна поща на напуснал служител, без регламентирана процедура, нарушава GDPR. Подобна позиция е заета и в Решение № Ж-226-204/2020 г., където автоматично пренасочване на имейли след напускане е счетено за нарушение.

Тези казуси показват, че дори когато имейлът е „служебен“, неправомерният достъп до него може да доведе до сериозни санкции.

Как да се спазват правилата – добри практики

За работодателя:

Въведете политика за електронна комуникация;
Уточнете дали и какво наблюдение се извършва;
Избягвайте автоматичен достъп до имейли след напускане;
Назначете лице по защита на личните данни (DPO), ако се изисква.

За служителя:

Използвайте служебния имейл само за работа;
Не съхранявайте чувствителни лични съобщения там;
Запознайте се с вътрешните политики на фирмата;
Използвайте алтернативна комуникация за лични теми.

Какво трябва да се промени в организациите?

Фирмите трябва:

да осигурят правна съвместимост между ИТ системи и GDPR;
да поддържат регистър на дейностите по обработване;
да провеждат вътрешни обучения по защита на личните данни;
да правят редовни оценки на риска.

Заключение: баланс между контрол и доверие

Защитата на личните данни в служебната електронна поща не е просто формалност. Тя е ключов аспект от културата на доверие и спазване на закона. GDPR не цели да ограничи бизнеса, а да постави ясни правила – както за работодателя, така и за служителя.

Запишете се още днес в Курса за защита на лините данни и бъдете подготвени, aко искате да разберете повече за правата и задълженията по GDPR, включително в контекста на работното място.

Често задавани въпроси

Кога служебният имейл се счита за лични данни по GDPR?

Служебният имейл адрес се счита за лични данни, когато съдържа лично име или идентифицира конкретно лице, например georgi.petrov@firma.bg. В такъв случай всяко действие с него — четене, съхранение или препращане — трябва да отговаря на изискванията на GDPR. Това важи, защото имейлът може да разкрива информация, свързана с конкретен служител.

Какви са задълженията на работодателя при използване на служебни имейли?

Работодателят е администратор на лични данни и трябва да обработва служебните имейли законосъобразно, прозрачно и сигурно. Той трябва да информира служителите как се използват имейлите им, да има ясна вътрешна политика и да обосновава всяко наблюдение или достъп с легитимна цел. Трябва също да ограничава достъпа до пощата на напуснали служители.

Какви права имат служителите относно служебната си поща?

Служителите имат право да знаят дали имейлите им се наблюдават и за какви цели се обработват. Те могат да подадат възражение срещу прекомерно следене, да търсят съдействие от КЗЛД при нарушение и да изискат изтриване на лични съобщения, когато това е обосновано. Правата им се свързват с прозрачност, пропорционалност и защита на личния живот.

Законен ли е достъпът до служебната поща на служител?

Няма еднозначен отговор — законността зависи от конкретния контекст. Достъпът е допустим, ако служителят е предварително информиран, ако контролът е оправдан от обоснована нужда и ако не се засягат лични комуникации. Практиката подчертава, че трябва да има прозрачност, пропорционалност и необходимост.

Какво показва практиката на КЗЛД за имейлите на напуснали служители?

Практиката на КЗЛД показва, че достъпът до служебна поща след напускане трябва да е ясно регламентиран. В Решение № Ж-63-146/2022 г. липсата на вътрешна уредба е посочена като нарушение, а в Решение № Ж-204-252/2021 г. достъпът до пощата на напуснал служител без процедура също е счетен за нарушение. Това подчертава нуждата от предвидимост и правна сигурност.

Какви добри практики трябва да прилагат работодателите и служителите?

Работодателите трябва да въведат политика за електронна комуникация, да уточнят дали се извършва наблюдение и да избягват автоматичен достъп до имейли след напускане. При необходимост трябва да осигурят и мерки за съвместимост с GDPR, регистър на обработванията и вътрешни обучения. Служителите е добре да ползват служебната поща само за работа и да не съхраняват чувствителни лични съобщения там.