السيطرة على العاملين على الإنترنت: منصب الضامن

(بقلم فيديريكا دي ستيفاني ، المحامية والمسؤولة عن Aidr Regione Lombardia) يعاقب الضامن لحماية البيانات الشخصية بلدية بولزانو لمراقبتها تصفح الإنترنت للعمال بشكل عشوائي.

تبدأ القصة بإجراءات تأديبية ضد موظف تم الطعن عليه لاستشارة فيسبوك ويوتيوب أثناء ساعات العمل.

تؤكد الهيئة ، في حكمها ، على بعض العناصر المهمة التي لا تتعلق فقط بمعالجة البيانات ، ولكن أيضًا بطريقة عمل البلدية ، قبل وأثناء إجراءات التفتيش.

القضية

من التحقيقات التي أجراها الضامن في أعقاب الشكوى التي قدمها الموظف الذي تم الطعن في اتصاله "بجهاز كمبيوتر البلدية ، لمدة تزيد عن 40 دقيقة على Facebook ولمدة تزيد عن 3 ساعات على youtube ، لمتابعة الأنشطة غير المؤسسية و أنه [...] قد أطلع على صفحات الإنترنت التي لا علاقة لها بعمله "، برز نشاط رصد وتصفية تصفح الإنترنت للموظفين الذي قامت به البلدية.

تم بعد ذلك تخزين البيانات التي تم جمعها على هذا النحو لمدة شهر وتم إنشاء تقارير محددة لأغراض أمان الشبكة.

إن تحليل القضية والطرق الملموسة التي نفذت بها البلدية هذه المراقبة ، من بين أمور أخرى لفترة ممتدة من الوقت (حوالي عشر سنوات) ، قد أظهر بعض الجوانب المهمة.

1- عدم كفاية المعلومات

تمت المعالجة التي أجرتها البلدية في غياب معلومات كافية ومحددة للموظفين فيما يتعلق بالضوابط المحتملة على وصول صاحب العمل إلى الإنترنت.

النظام المعتمد من قبل البلدية لأغراض أمن الشبكة ، في التكوين الأصلي ، سمح بتصفية وتعقب الاتصالات والروابط إلى مواقع الإنترنت الخارجية ، وتخزين هذه البيانات وحفظها ، لمدة ثلاثين يومًا ، وكذلك استخراج التقارير ، حتى على أساس فردي.

سمح هذا النظام بالتعريف المباشر للعامل ومحطة عمله وأدى إلى جمع منهجي للبيانات المتعلقة بنشاط واستخدام خدمات الشبكة من قبل موظفين محددين بشكل مباشر.

لم تزود البلدية الموظفين بأي معلومات محددة تتعلق بمعالجة البيانات الشخصية ولا ، في تلك المتاحة ، لم يكن هناك أي إشارة إلى معالجة البيانات الشخصية المتعلقة بتصفح الإنترنت بنفسها.

في الوثائق الأخرى ، التي تم توفيرها للسلطة وتحليلها أثناء التحقيق ، كانت هناك إشارة إلى عمليات تتبع الاتصال بالإنترنت ، ولكن بما أن المستندات قد تم إعدادها للوفاء بالالتزامات المختلفة ، فإنها لا تحتوي على جميع المعلومات الأساسية المطلوبة من المادة. 13 من اللائحة وبالتالي لا يمكن أن تحل محل المعلومات التي يجب على المالك تقديمها ، قبل بدء العلاج ، إلى الأطراف المعنية.

2 - مبدأ التقليل

وفقًا للائحة ، يجب أن تكون المعالجة "ضرورية" فيما يتعلق بالغرض القانوني المتبع (المادة 6 ، الفقرة 1 من اللائحة) ويكون هدفها فقط "البيانات الكافية وذات الصلة والمحدودة لما هو ضروري فيما يتعلق بـ الأغراض التي تتم معالجتها من أجلها "(المادة 5 ، الفقرة 1 ، الحرف ج) من اللائحة).

في هذا الصدد ، يؤكد الضامن أن نطاق الضوابط (غير المباشرة أو غير المقصودة) ، على الرغم من تنفيذها وفقًا للوائح القطاع ، لا يمكن تنفيذها على نطاق واسع ويجب ، على أي حال ، تنفيذها بعد تجربة تدابير أقل تقييدًا من حقوق العمال.

تؤكد الهيئة ، التي تؤكد على الحدود غير الواضحة بين مجال العمل والمجال المهني والمجال الخاص تمامًا ، على الحاجة إلى حماية وضمان توقعات سرية العامل في مكان العمل حتى في الفرضية التي يرتبط فيها الموظف بالخدمات من الشبكة المتاحة لصاحب العمل أو استخدام مورد الشركة أيضًا من خلال الأجهزة الشخصية.

في الحالة التي تم تحليلها ، على العكس من ذلك ، تبين أن الأساليب الملموسة التي أجريت بها عمليات الفحص لا تحترم مبادئ الضرورة والتناسب ، فيما يتعلق بهدف حماية وسلامة الشبكة الداخلية التي استند إليها الكيان.

إن النظام الذي تستخدمه البلدية ، في الواقع ، "من خلال إجراء مجموعة منهجية لبيانات تنقل الموظفين ، ينطوي حتماً على معالجة معلومات لا علاقة لها بالنشاط المهني ، ولا يمكن الاستدلال عليها من عناوين URL التي تمت زيارتها ، وبالتالي كان يتعارض مع حظر العمل على معالجة البيانات "غير المتعلقة بتقييم الموقف المهني للعامل" وبالتالي مع الفن. 113 من القانون ، مع الإشارة إلى المادة. 8 من ل. 20 مايو 1970 ، ن. 300 والفن. 10 من المرسوم التشريعي 10 سبتمبر 2003 ، ن. 276 "(هكذا حرفيا المرسوم الصادر في 13 مايو 2021).

لا يمكن للحاجة إلى تقليل مخاطر الاستخدام غير السليم لتصفح الإنترنت من قبل الموظفين ، والتي تتكون من أنشطة لا تتعلق بأداء العمل (على سبيل المثال ، عرض مواقع الويب غير ذات الصلة ، أو تحميل الملفات أو تنزيلها ، أو استخدام خدمات الشبكة لأغراض ترفيهية أو غير مرتبطة بالعمل) ، في الواقع ، يبرر أي شكل من أشكال التدخل في الحياة الخاصة ، ولكن يمكن تلبية ذلك من خلال إعداد التدابير التقنية والتنظيمية المناسبة لمنع جمع أي معلومات تتعلق بالمجال غير العامل ، مما يؤدي إلى معالجة المعلومات الشخصية ، "غير ذات الصلة" تقع ضمن نطاق تطبيق الفن. 113 من القانون

3- تحديد الغرض

تنص اللائحة ، في المادة 5 ، أنه "يجب" جمع البيانات لأغراض مشروعة محددة وصريحة ، ومعالجتها لاحقًا بطريقة لا تتعارض مع هذه الأغراض ".

في الحالة التي حللها الضامن ، لم يتم احترام هذا المبدأ ، نظرًا لأن البيانات المتعلقة بتصفح الويب للموظفين ، تم جمعها ومعالجتها في الأصل بطريقة غير متناسبة ولا تتوافق مع اللوائح المتعلقة بحماية الأفراد. البيانات ، وبدون معلومات كافية عملاً بالفن. 13 من اللوائح ، تم استخدامها لاحقًا للطعن في التهم التأديبية.

بالنسبة للهيئة ، ثبت أن المؤشرات التي قدمتها البلدية بخصوص رفع الدعوى التأديبية لا قيمة لها.

في الواقع ، لم يؤد هذا الأخير إلى فرض عقوبات لأن البيانات التي تم جمعها لم تكن موثوقة ، كما أبلغ عن سلسلة من المواقع (على سبيل المثال مرتبطة باللافتات) التي لم يزورها العامل بالضرورة ، دون إمكانية التمييز بين الموقع الذي تمت زيارته بالفعل وأولئك الذين لديهم تنقل غير مباشر / غير إرادي.

إن الظروف المتعلقة بجودة البيانات الرديئة التي تم جمعها ليست ذات صلة لأغراض تقييم الامتثال للائحة ، حيث تمت معالجة البيانات التي تم جمعها على أي حال ، حيث تم استخدامها لبدء الإجراء التأديبي المذكور أعلاه.

أخيرًا ، تلاحظ السلطة الضامنة عدم وجود تقييم للأثر من قبل البلدية وعدم ملاءمة اتفاقية النقابات الجديدة المنصوص عليها لمعالجة البيانات الشخصية للموظفين.

بالنسبة للانتهاكات التي تم العثور عليها وبالنظر إلى الموقف التعاوني والاستباقي للبلدية ، تم تحديد العقوبة الإدارية المفروضة بمبلغ 83.000 يورو.

السيطرة على العاملين على الإنترنت: منصب الضامن