UKRUK/69642/2018-2

29. 06. 2018

Pro zasílání pracovních e-mailů na UK, zasílání e-mailů studentům a veškerou další komunikaci uvnitř UK i ze strany UK vůči třetím stranám prostřednictvím e-mailu slouží všem zaměstnancům UK výhradně pracovní e-mailové účty pod doménou "cuni.cz". Z hlediska GDPR není přípustné při zasílání pracovních e-mailů, komunikaci se studenty, řešení agendy úředně-správního charakteru apod. použití soukromých e-mailových účtů nebo účtů jiné organizace.

Komunikace z e-mailových účtů jiných pracovišť ohledně činností souvisejících s agendou Univerzity Karlovy je možná pouze v případě pracovněprávního vztahu dané osoby k jinému pracovišti, a to výhradně prostřednictvím účtů vedených pod doménou některé z fakultních nemocnic, Akademie věd ČR (včetně společných pracovišť UK a AVČR), CESNET nebo pod oficiální doménou některé z veřejných vysokých škol. Příklad: Školitel doktoranda, který má pracovní úvazek ve fakultní nemocnici, může ke komunikaci s doktorandem využít jak účet vedený pod doménou cuni.cz, tak účet vedený pod doménou fakultní nemocnice.

Přeposílání e-mailů na další pracoviště zaměstnance UK, tzn. možnost automatického přeposílání z e-mailového účtu pod doménou cuni.cz na jiný e-mailový účet zaměstnance, je možné realizovat pouze v případě, že organizace, u které je cílový e-mailový účet veden, je některou z organizací uváděných v předchozím odstavci. Přesměrování na účty vedené pod jinými doménami není z hlediska GDPR přípustné.

Pokyn nijak neomezuje umístění a typ e-mailových schránek subjektů, se kterými komunikace probíhá. Např. pokud student uvede ke komunikaci s ním e-mailovou adresu zřizovanou u externího poskytovatele, je samozřejmě možné mu i nadále zasílat e-maily na tuto adresu.

Nadále platí, že do e-mailu je možné uvést pouze ty osobní údaje, jejichž zveřejnění nemůže mít na danou osobu žádný vliv, nebo takové, o kterých subjekt údajů sám e-mailem komunikuje (tj. komunikaci sám zahájil).

Zdůvodnění:

V případě zaslání e-mailu mimo doménu cuni.cz jsou potenciální osobní údaje obsažené v e-mailu předávány třetím subjektům (t. j. organizaci, která provozuje takovou doménu). Pro toto předání nemá Univerzita Karlova souhlas a jedná se tedy o porušení pravidel GDPR. Komunikace z cizího (soukromého) e-mailu přímo se subjekty údajů navíc toto porušení zveřejňuje a tím dává velmi snadnou možnost podat proti postupu UK stížnost.

V neposlední řadě je používání e-mailových účtů vedených mimo doménu cuni.cz (případně mimo doménu spolupracujících fakultních nemocnic, AVČR atd.) problematické také z hlediska kybernetické bezpečnosti.