(Federica De Stefani, pravnica i odgovorna za Aidr Regione Lombardia) Garant za zaštitu podataka o ličnosti sankcioniše Općinu Bolzano zbog neselektivnog praćenja pregledavanja Interneta radnika.
Priča započinje disciplinskim postupkom protiv zaposlenika koji je izazvan zbog savjetovanja s Facebookom i YouTubeom tokom radnog vremena.
Vlast u svojoj odredbi naglašava neke važne elemente koji se tiču ne samo obrade podataka, već i načina rada opštine, prije i tokom postupka inspekcije.
Slučaj
Iz istraga koje je garant izvršio nakon žalbe zaposlenog koji je osporavan zbog povezanosti „sa računarom opštine, preko 40 minuta na facebooku i više od 3 sata na youtubu, radi praćenja vaninstitucionalnih aktivnosti i da je [...] konsultovao Internet stranice koje se ne odnose na njegov rad ”, pojavila se aktivnost praćenja i filtriranja pregledavanja Interneta zaposlenih koju je sprovela Opština.
Tako prikupljeni podaci potom su čuvani mjesec dana i stvoreni su posebni izvještaji u svrhu mrežne sigurnosti.
Analiza afere i konkretnih načina na koje je Opština sprovela ovo praćenje, između ostalog u prilično dužem vremenskom periodu (oko deset godina), otkrila je neke važne aspekte.
1- Nedostatak adekvatnih informacija
Obrada koju je izvršila opština odvijala se u nedostatku adekvatnih i konkretnih informacija zaposlenima u vezi sa mogućim kontrolama pristupa internetu od strane poslodavca.
sistem koji je općina usvojila u svrhu mrežne sigurnosti, u izvornoj konfiguraciji, omogućio je filtriranje i traženje veza i veza do vanjskih Internet stranica, čuvanje takvih podataka i njihovo čuvanje, trideset dana, kao i izdvajanje izvještaja, čak i na individualnoj osnovi.
Ovaj sistem omogućio je direktnu identifikaciju radnika i njegove radne stanice i doveo do sistematskog prikupljanja podataka koji se odnose na aktivnost i upotrebu mrežnih usluga od strane direktno prepoznatljivih zaposlenih.
Opština nije pružila zaposlenima nikakve posebne informacije koje se odnose na obradu ličnih podataka, niti se ona, koja su dostupne, odnosila na obradu ličnih podataka koji se tiču pregledavanja Interneta od strane istih.
U drugim dokumentima, koji su dostupni Vlasti i koji su analizirani tokom istrage, bilo je referenci na operacije traženja internetske veze, ali budući da su dokumenti sastavljeni da bi se ispunile različite obaveze, oni nisu sadržavali sve bitne informacije potrebne iz čl. 13. Uredbe i stoga nisu mogli zamijeniti informacije koje vlasnik mora dati, prije početka liječenja, zainteresiranim stranama.
2 - Princip minimiziranja
Prema Uredbi, obrada mora biti „neophodna“ s obzirom na zakonitu svrhu kojoj se teži (članak 6. stavak 1. Uredbe) i čiji su predmet samo podaci „adekvatni, relevantni i ograničeni na ono što je neophodno s obzirom na svrhe u koje se obrađuju "(čl. 5, st. 1, slovo c) Uredbe).
S tim u vezi, garant naglašava da se opseg kontrola (neizravnih ili nenamjernih), iako provedenih u skladu sa sektorskim propisima, ne može provoditi masovno i mora se, u svakom slučaju, provesti nakon eksperimentiranja s mjerama manje restriktivne nego prava radnika.
Vlast, naglašavajući zamagljenu granicu između radne i profesionalne sfere i strogo privatne, također ponavlja potrebu da zaštiti i zajamči očekivanja povjerljivosti radnika na radnom mjestu čak i u hipotezi u kojoj je zaposlenik povezan sa uslugama mreže koja je dostupna poslodavcu ili koristi resurse kompanije takođe putem ličnih uređaja.
U analiziranom slučaju, naprotiv, pokazalo se da konkretne metode kojima su provedene provjere nisu poštivale principe nužnosti i proporcionalnosti s obzirom na svrhu zaštite i sigurnosti interne mreže na koju se poziva entitet.
Sistem koji je opština koristila, zapravo sistematskim prikupljanjem podataka o navigaciji zaposlenih neizbežno je obuhvaćao obradu informacija koje takođe nisu povezane sa profesionalnom aktivnošću, a koje se mogu izvući iz posjećenih URL-ova, te je stoga bio u suprotnosti sa zabranom za rad na obradi podataka "koji nisu povezani sa ocjenom profesionalnog stava radnika" i stoga sa čl. 113 Kodeksa, pozivajući se na čl. 8 od l. 20. maja 1970, n. 300 i čl. 10 zakonske uredbe od 10. septembra 2003, br. 276 "(doslovno pravilnik od 13. maja 2021).
Potreba za smanjenjem rizika od nepravilne upotrebe pregledavanja Interneta od strane zaposlenih, koja se sastoji od aktivnosti koje nisu povezane s radnim učinkom (na primjer, gledanje nebitnih web stranica, učitavanje ili preuzimanje datoteka, 'korištenje mrežnih usluga u rekreacijske svrhe ili nepovezano s radom) zapravo opravdava bilo koji oblik uplitanja u privatni život, ali se može zadovoljiti pripremom tehničkih i organizacionih mjera pogodnih za sprečavanje prikupljanja bilo kakvih informacija koje se odnose na neradnu sferu, što dovodi do obrade ličnih podataka, „nebitnih“ da spadaju u delokrug primene čl. 113 Kodeksa
3- Ograničenje svrhe
Uredba u čl. 5, da se "podaci moraju" prikupljati u određene, izričite legitimne svrhe i naknadno obrađivati na način koji nije nespojiv s takvim svrhama ".
U slučaju koji je garant analizirao, ovo načelo nije poštovano, s obzirom da su podaci koji se odnose na pregledavanje web stranica zaposlenih, izvorno prikupljeni i obrađeni na način koji nije proporcionalan i nije u skladu s propisima o zaštiti ličnih podataka. podataka, i bez odgovarajućih informacija u skladu sa čl. 13 Pravilnika, naknadno su korišteni za osporavanje disciplinskih optužbi.
Za Vlast se pokazalo da indikacije koje je pružila Opština u vezi sa podnošenjem disciplinskog postupka nisu bile od koristi.
Ovo posljednje, zapravo, nije dovelo do izricanja sankcija jer prikupljeni podaci nisu bili pouzdani, a prijavljivali su i niz web lokacija (npr. Povezanih na transparente) koje radnik nije nužno posjetio, bez mogućnosti razlikovanja između stvarno posjećeno mjesto i one s neizravnom / nehotičnom navigacijom.
Okolnost koja se odnosi na lošu kvalitetu prikupljenih podataka nije relevantna za potrebe procjene usklađenosti s Uredbom, jer su prikupljeni podaci u svakom slučaju obrađivani, jer su korišteni za pokretanje gore navedenog disciplinskog postupka.
Na kraju, Garantno tijelo primjećuje nedostatak procjene uticaja koju je izvršila opština i neprikladnost novog sindikalnog sporazuma predviđenog za obradu ličnih podataka zaposlenih.
Za utvrđene prekršaje i uzimajući u obzir kolaborativni i proaktivni stav opštine, izrečena administrativna sankcija je kvantifikovana na 83.000 €.