Monitorizarea folosirii internetului si e-mail-ului la locul de munca. Limitele ce trebuie respectate de angajatori
Fara a uita de recomandarile Grupului de Lucru Art. 29 (organism inlocuit de European Data Protection Board EDPB odata cu intrarea in vigoare a Regulamentului European nr. 679/2016 privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si privind libera circulatie a acestor date si de abrogare a Directivei 95/46/CE - denumit in continuare Regulamentul sau GDPR) indicate in Opinia nr. 2/2017 privitoare la prelucrarea datelor cu caracter personal in contextul relatiilor de munca (subiect pe care il vom dezbate intr-un articol viitor), o tema de interes o reprezinta cu siguranta modul in care angajatorii pot supraveghea si monitoriza utilizarea internetului si a
e-mail-ului de catre angajati. Mai precis, este important sa identificam limitele pana la care astfel de practici ale angajatorilor pot fi considerate a fi acceptabile.
e-mail-ului de catre angajati. Mai precis, este important sa identificam limitele pana la care astfel de practici ale angajatorilor pot fi considerate a fi acceptabile.
Inainte de a puncta aspectele de care angajatorii trebuie sa tina cont, trebuie sa precizam ca angajatilor le este recunoscut dreptul la viata privata si in timpul orelor de program. Astfel, chiar daca acestia presteaza o activitate in beneficiul unei firme intr-un anumit interval orar, acest fapt nu inseamna ca toate actiunile sale pot fi monitorizate de catre respectiva societate angajatoare. Prin urmare, simplul fapt ca monitorizarea comunicatiilor electronice ale angajatilor este utila angajatorului, nu poate fi motiv suficient pentru a permite o atare intruziune in viata privata a salariatilor sai. Spete renumite cum sunt Niemitz vs. Germania si Halford vs. Marea Britanie confirma aceasta afirmatie. Ca o consecinta exemplificativa, amintim ca EPDB considera nejustificata instalarea de camere de luat vederi in cabina autocamioanelor sau in birouri, instalarea de sisteme GPS in masinile de serviciu care sa nu permita intreruperea monitorizarii etc.
De asemenea, dreptul mai sus amintit trebuie respectat indiferent daca angajatii isi desfasoara activitatea on-line sau off-line, nici GDPR si nici jurisprudenta europeana neprevazand vreo diferentiere in acest sens.
In contextul prezentat, este deci necesar ca inainte de instalarea unor masuri de supraveghere si monitorizare a comunicatiilor electronice la locul de munca, angajatorul sa parcurga o evaluare pentru a gasi un echilibru intre dreptul la viata privata recunoscut salariatilor si dreptul sau de a-si conduce business-ul si a se proteja impotriva actiunilor salariatilor ce i-ar afecta negativ interesele legitime (cum e incalcarea obligatiei de confidentialitate sau instalarea de virusi informatici in sistemul IT al societatii). Asadar, evaluarea va trebui sa raspunda in principal la urmatorul set de intrebari:
- Este transparent pentru angajati modul in care va avea loc monitorizarea?
- Este imperios necesara monitorizarea angajatilor pentru atingerea scopului urmarit, sau se poate ajunge la acelasi rezultat folosind mijloace de prelucrare a datelor mai putin intruzive?
- In considerarea principiului echitatii reglementat de GDPR, este monitorizarea un demers corect pentru angajati?
- Este monitorizarea un demers proportional raportat la scopul urmarit de societate?
Cateva mentiuni suplimentare se impun cu privire la prima intrebare. Astfel, tinand cont de dreptul la informare al persoanelor vizate, dar si de prioritatea ce trebuie acordata preventiei in locul detectiei, este obligatorie furnizarea de informatii angajatilor in prealabil monitorizarii, cu privire la:
- faptul ca aceasta va avea loc
- scopul urmarit de angajator si temeiul aplicabil
Utilizarea consimtamantului angajatului ca si temei al monitorizarii comunicatiilor sale electronice nu constituie o practica recomandata din motivul dezechilibrului partilor si deci a dificultatilor ridicate in a asigura exprimarea in mod liber a acordului.
Prin urmare, temeiul care se preteaza cel mai bine pentru astfel de prelucrari de date este cel al interesului legitim urmarit de angajator, cu precizarea insa ca existenta unui atare interes nu este suficienta atat timp cat raspunsul la intrebarile indicate la punctele 2, 3 si 4 de mai jos nu este unul pozitiv.
Prin urmare, temeiul care se preteaza cel mai bine pentru astfel de prelucrari de date este cel al interesului legitim urmarit de angajator, cu precizarea insa ca existenta unui atare interes nu este suficienta atat timp cat raspunsul la intrebarile indicate la punctele 2, 3 si 4 de mai jos nu este unul pozitiv.
- datele prelucrate
Tinand cont de scopul urmarit, se va incerca prelucrarea strict a datelor cu caracter personal necesare. Monitorizarile directionate in mod specific catre datele cu caracter special, nu constituie o practica incurajata de EDPB;
- echipamentele monitorizate respectv cele care nu sunt monitorizate putand fi folosite inclusiv in comunicatiile personale
Interzicerea completa a accesului la internet pe toata durata timpului de munca poate constitui o practica imposibil de realizat in practica, din moment ce pentru marea majoritatea a job-urilor este necesar accesul la informatii disponibile on-line. Alternative cum sunt stabilirea interdictiei de folosire a e-mail-ului profesional pentru chestiuni private, blocarea accesului la anumite site-uri sau instalarea de soft-uri care sa blocheze accesul la baza de date a angajtorului de pe alte dispozitive decat cele ale societatii, sunt cu siguranta preferate.
- modul in care se va face interpretarea rezultatelor
Evaluarea angajatilor exclusiv in baza rezultatelor monitorizarii nu constituie o buna practica a societatilor;
- orarul in care are loc monitorizarea
Supravegherea permanenta si automata este arareori justificata. La fel, monitorizarea activitatii angajatului in afara programului sau normal de lucru ar trebui evitata complet sau limitata la situatii punctuale bine intemeiate;
- durata stocarii datelor
Recomandarea EDPB pentru durata pastrarii e-mail-urilor angajatilor este de maxim 3 luni de la incetarea relatiilor de munca. In acest context, pentru ca societatile sa reduca riscul aparitiei unor probleme ulterioare de comunicare cu clientii sau cu alti angajati care obisnuiau sa se adreseze unui fost salariat, recomandarea noastra este aceea de a include in politicile interne si in practica companiei, obligatia de a indica in Cc adresa sefului ierarhic superior pentru orice comunicari;
- persoanele ce vor putea accesa rezultatele monitorizarii
- modul in care va fi indicata o folosire necorespunzatoare a echipamentelor implicate (de exemplu prin pop up-uri sau alerte vizibile imediat, care sa permita luarea unor masuri urgente)
- drepturile angajatilor cu privire la aceasta monitorizare
- masurile de securitate luate de angajator.
Fara a diminua importanta celor de mai sus, trebuie sa atragem atentia asupra faptului ca informarea angajatului cu privire la o astfel de prelucrare a datelor sale, nu reprezinta o conditie suficienta (ci doar necesara) pentru legalitatea monitorizarii. De ce? Pentru ca salariatii se bucura permanent de prezumtia respectarii dreptului lor la viata privata (si in contextul relatiilor de munca), dar si al dreptului fundamental la secretul corespondentei chiar daca acea corespondenta se realizeaza de pe echipamentele angajatorului.
Mai mult, un demers adesea ignorat de mediul de business, dar care e considerat a fi o buna practica de catre EDPB, il reprezinta informarea de catre societate a destinatarilor comunicarilor transmise de angajatul al carui e-mail este supravegheat, daca acei destinatari pot fi la randul lor afectati de respectiva prelucrare de date.
De asemenea, consultarea reprezentantilor angajatilor anterior implementarii unor masuri de monitorizare a comunicatiilor electronice purtate de angajati, este nu doar obligatorie potrivit GDPR ci si extrem de utila pentru companii, intrucat in acest fel s-ar putea evalua mult mai usor impactul avut de o astfel de masura.
IN CONCLUZIE, chestiunea monitorizarii comunicatiilor electronice ale angajatilor nu este una simpla tocmai din cauza dificultatii realizarii unui echilibru dintre dreptul la viata privata si la secretul corespondentei recunoscute salariatilor, respectiv dreptul la protejarea afacerii recunoscut angajatorului.
Din acest motiv, realizarea unei evaluari prealabile de catre companii este absolut necesara, urmatoarele patru repere fiind determinante: obligativitatea informarii angajatilor, necesitatea imperioasa a monitorizarii, echitatea demersului si proportionalitatea monitorizarii raportat la scopul urmarit.
Mai mult, un demers adesea ignorat de mediul de business, dar care e considerat a fi o buna practica de catre EDPB, il reprezinta informarea de catre societate a destinatarilor comunicarilor transmise de angajatul al carui e-mail este supravegheat, daca acei destinatari pot fi la randul lor afectati de respectiva prelucrare de date.
De asemenea, consultarea reprezentantilor angajatilor anterior implementarii unor masuri de monitorizare a comunicatiilor electronice purtate de angajati, este nu doar obligatorie potrivit GDPR ci si extrem de utila pentru companii, intrucat in acest fel s-ar putea evalua mult mai usor impactul avut de o astfel de masura.
IN CONCLUZIE, chestiunea monitorizarii comunicatiilor electronice ale angajatilor nu este una simpla tocmai din cauza dificultatii realizarii unui echilibru dintre dreptul la viata privata si la secretul corespondentei recunoscute salariatilor, respectiv dreptul la protejarea afacerii recunoscut angajatorului.
Din acest motiv, realizarea unei evaluari prealabile de catre companii este absolut necesara, urmatoarele patru repere fiind determinante: obligativitatea informarii angajatilor, necesitatea imperioasa a monitorizarii, echitatea demersului si proportionalitatea monitorizarii raportat la scopul urmarit.
Newsletter PortalProtectiaDatelor.ro
Ramai la curent cu toate solutiile propuse de specialisti.
Aboneaza-te ACUM la Newsletterul PortalProtectiaDatelor.ro si primesti cadou Raportul special "Munca la domiciliu - Aspecte practice privind GDPR"!