长期以来,通用数据保护条例 (GDPR) 一直被视为针对网络巨头的技术规则,现已强行进入办公室和开放空间。如今,问题不再是雇主是否可以监控其员工,而是员工可以在多大程度上挖掘公司档案以检索自己的数据。
即使在办公室也是一项基本权利
原则很明确,但其含义是广泛的:每个人都有权知道某个组织是否持有有关他们的数据,验证其准确性并以可理解的格式获取数据的副本。
在工作世界中,这项权利并不仅限于公司门口。员工或前员工可以合法地要求雇主访问其工作工具中包含的个人数据,特别是其专业电子邮件中的个人数据。
目标?让员工保持控制。我的评论准确吗?管理层的电子邮件循环中正在传播有关我的哪些信息?访问权是将员工从简单的数据处理“客体”转变为主动的“主体”的工具。
关键区别:数据不是文档
这是HR和员工讨论时经常出现的问题。访问权涉及个人数据,不一定涉及物理或数字文档。
然而,欧洲判例法(特别是欧洲法院 2023 年 5 月 4 日的判决)提供了一项重大澄清:如果电子邮件的完整副本的通信对于员工了解其数据的处理至关重要,则雇主必须提供该电子邮件。显然,从复杂的电子邮件中提取简单的一行文本并不总是足够的。雇主必须提供“忠实且可理解的复制品”。
你可知道? 对于电子邮件,访问权包括“元数据”:时间戳、收件人和消息主题。
雇主的困惑:第三方的权利
尽管访问权很强大,但它并不是绝对的。它的主要限制是什么?他人的权利。专业邮箱是信息的十字路口,商业秘密、同事的私生活和知识产权交织在一起。
因此,雇主必须采取平衡措施。为了简化这种巨大的排序,CNIL 建议区分两种情况:
1. 员工是发件人或收件人
这是最简单的情况。该员工已经知晓该内容。在这里,员工的保密性几乎为零。该通信被认为是合法的。然而,一个好的做法是将所提到的第三方的名字匿名,作为预防措施,如果员工已经知道这些联系人,则这不是严格的义务。
2. 内容中仅提及该员工
这就是潜在的法律危险。如果两位经理讨论下属的绩效,下属有权获得有关他的评论,但不一定有权获得有关其他同事或公司战略信息的评论。然后,雇主必须掩盖与第三方有关的敏感段落或数据。
个人电子邮件:不可侵犯的庇护所
雇主有一个“雷达外”区域:被标识为“个人”或其内容明显属于私人的消息。在通信保密的情况下,雇主无权打开这些消息,甚至检查它们是否包含要传输的数据。
如果员工请求访问他的个人电子邮件,雇主必须“按原样”将其提供给他,甚至无法对其进行审查。要打破这一封印,雇主只有一个选择:如果怀疑机密文件存在欺诈或盗窃行为,则诉诸法庭。
面对消息传递中的“大数据”:CNIL 方法
有些请求涉及十年职业生涯中积累的数千条消息。为了避免人力资源服务瘫痪,CNIL 提供了分三步的务实方法:
- 汇总表: 雇主首先提供一个列表(发件人、日期、主题)。
- 对话: 雇主告知雇员,总提取是一种不成比例的负担,并邀请他具体说明他的要求(目标期限、关键词)。
- 有针对性的沟通: 一旦周界缩小,数据就会被传输。
注意力 : 雇主不能仅仅因为诉讼未决而拒绝请求。 GDPR 的访问权独立于劳动法或民事程序而存在。
走向和平透明?
访问电子邮件的权利不是战争武器,而是透明度的工具。对于企业来说,信息很明确:数据管理不能即兴发挥。设置有限的保留期限并让高管了解其专业著作的起草情况已成为必要。因为今天,每一封书面电子邮件有一天都会回到其主题的眼前。
