(autor: Federica De Stefani, advokaat ja Aidr Regione Lombardia eest vastutav ametnik) Isikuandmete kaitse garantiis karistatakse Bolzano omavalitsust selle eest, et ta jälgis valimatult töötajate Interneti-sirvimist.
Lugu algab distsiplinaarmenetlusega töötaja suhtes, kes vaidlustati tööajaga Facebooki ja YouTube'i nõustamise eest.
Järelevalveamet rõhutab oma sättes mõningaid olulisi elemente, mis ei puuduta mitte ainult andmete töötlemist, vaid ka omavalitsuse toimimisviisi enne kontrollimenetlust ja selle käigus.
Juhtum
Alates garantiist läbi viidud uurimistest pärast kaebust, mille esitas töötaja, kellele esitati vaidlus seoses ühenduse tõttu "valla arvutiga, üle 40 minuti jooksul facebookis ja üle 3 tunni youtube'is, jälgida institutsioonivälist tegevust ja et [...] ta oli uurinud Interneti-lehti, mis ei olnud seotud tema tööga ”, tekkis Valla poolt töötajate Interneti-sirvimise jälgimise ja filtreerimise tegevus.
Sel viisil kogutud andmeid hoiti siis kuu aega ja võrgu turvalisuse eesmärgil koostati konkreetsed aruanded.
Loo ja konkreetsete viiside analüüs, kuidas vald oli seda seiret läbi viinud, muu hulgas üsna pikema aja jooksul (umbes kümme aastat), on välja toonud mõned olulised aspektid.
1 - Piisava teabe puudumine
Valla poolt läbi viidud töötlemine toimus töötajatele piisava ja konkreetse teabe puudumise kohta seoses võimaliku kontrolliga, kuidas tööandja kontrollib Interneti-juurdepääsu.
omavalitsuse võrgu turvalisuse eesmärgil vastu võetud süsteem algses konfiguratsioonis võimaldas filtreerida ja jälgida ühendusi ja linke välistele Interneti-saitidele, säilitada selliseid andmeid ja säilitada neid kolmekümne päeva jooksul, samuti väljavõtte aruandeid individuaalselt.
See süsteem võimaldas otseselt tuvastada töötajat ja tema töökohta ning põhjustas otseselt tuvastatavate töötajate süstemaatilise võrguteenuste tegevuse ja kasutamise andmete kogumise.
Vald ei esitanud töötajatele mingit konkreetset teavet isikuandmete töötlemise kohta ega viidanud nendes kättesaadavaks tehtud andmetele Interneti sirvimisega seotud isikuandmete töötlemisele.
Teistes ametile kättesaadavaks tehtud ja uurimise käigus analüüsitud dokumentides oli viide Interneti-ühenduse jälgimise toimingutele, kuid kuna dokumendid koostati erinevate kohustuste täitmiseks, ei sisaldanud need kogu kunstilt nõutavat olulist teavet. Määruse artikliga 13 ja ei saa seetõttu asendada teavet, mille omanik peab enne ravi alustamist huvitatud isikutele edastama.
2 - minimeerimise põhimõte
Määruse kohaselt peab töötlemine olema taotletava õiguspärase eesmärgi saavutamiseks vajalik (määruse artikli 6 lõige 1) ja selle eesmärgiks peavad olema üksnes andmed, mis on "piisavad, asjakohased ja piirduvad vajalikuga töötlemiseks "(määruse artikli 5 lõike 1 punkt c).
Sellega seoses rõhutab käendaja, et kontrollide (kaudsete või tahtmatute) ulatust, kuigi neid viiakse läbi vastavalt sektorisätetele, ei saa siiski massiliselt läbi viia ja need tuleb igal juhul läbi viia pärast vähem piiravate meetmetega katsetamist. kui töötajate õigused.
Amet, rõhutades hägustatud piiri töö- ja erialase ning rangelt erasektori vahel, kordab samuti vajadust kaitsta ja tagada töötaja konfidentsiaalsuse ootused töökohal ka hüpoteesi korral, mil töötaja on teenustega seotud tööandjale kättesaadavaks tehtud võrgu või kasutada ettevõtte ressurssi ka isiklike seadmete kaudu.
Analüüsitud juhtumi puhul ilmnes vastupidi, et kontrollide läbiviimise konkreetsed meetodid ei vastanud üksuse viidatud sisevõrgu kaitse ja ohutuse eesmärgi osas vajalikkuse ja proportsionaalsuse põhimõtetele.
Tegelikult on omavalitsuse kasutatav süsteem "töötajate navigeerimisandmete süstemaatilise kogumise läbiviimine paratamatult seotud ka ametialase tegevusega mitteseotud teabe töötlemisega, mis on tuletatud külastatud URL-ide põhjal ja oli seetõttu vastuolus tööandja keeluga. töö andmete töötlemiseks, "mis ei ole seotud töötaja professionaalse suhtumise hindamisega" ja seega ka kunstiga. Koodeksi 113, viidates artiklile 8 l. 20. mai 1970, n. 300 ja kunst. 10. seadusandliku dekreedi 10. september 2003, nr 276. 13 "(nii sõnasõnaliselt 2021. mai XNUMX korraldus).
Vajadus vähendada töötajate Interneti-sirvimise ebaõige kasutamise riski, mis koosneb tegevustest, mis pole seotud töö tulemuslikkusega (näiteks ebaoluliste veebisaitide vaatamine, failide üles- või allalaadimine, võrguteenuste kasutamine puhkeotstarbel või tööga mitteseotud). ei saa tegelikult õigustada mis tahes sekkumist eraellu, kuid seda saab rahuldada tehniliste ja korralduslike meetmete pakkumisega, mis sobivad igasuguse mittetöötava valdkonnaga seotud teabe kogumise vältimiseks, mis põhjustab isikuandmete töötlemise. " ebaolulised ", mis kuuluvad kunsti rakendusalasse. Koodeksi 113
3- Eesmärgi piiramine
Määruse art. 5, et "andmed tuleb" koguda konkreetsetel, selgesõnalistel seaduslikel eesmärkidel ja seejärel töödelda viisil, mis ei ole selliste eesmärkidega vastuolus ".
Garanti analüüsitud juhul ei peetud seda põhimõtet arvesse, kuna töötajate veebibrauseriga seotud andmed, mis algselt koguti ja töödeldi viisil, mis ei olnud proportsionaalne ega vastanud isikuandmete kaitse eeskirjadele, ja ilma artikli 13 kohase piisava teabeta Määruse artiklit XNUMX kasutati hiljem distsiplinaarsüüdistuste vaidlustamiseks.
Ameti jaoks ei osutunud väärtuslikuks ka omavalitsuse esitatud teated distsiplinaarmenetluse esitamise kohta.
Viimane ei toonud tegelikult kaasa sanktsioonide kehtestamist, kuna kogutud andmed ei olnud usaldusväärsed, teatades ka rea saitidest (nt seotud bänneritega), mida töötaja ei olnud tingimata külastanud, ilma et oleks võimalik vahet teha tegelikult külastatud sait ja kaudse / tahtmatu navigeerimisega saidil.
Kogutud andmete halva kvaliteediga seotud asjaolu ei ole määrusele vastavuse hindamisel asjakohane, kuna kogutud andmeid töödeldi igal juhul, kuna neid kasutati eespool nimetatud distsiplinaarmenetluse algatamiseks.
Lõpuks märgib garantiiamet omavalitsuse poolt läbi viidud mõjuhinnangu puudumist ja töötajate isikuandmete töötlemiseks ette nähtud uue ametiühingulepingu sobimatust.
Leitud rikkumiste eest ning arvestades omavalitsuse koostöö- ja ennetavat suhtumist määrati määratud halduskaristuseks 83.000 XNUMX eurot.