(弁護士であり、Aidr RegioneLombardiaの責任者であるFedericaDe Stefaniによる)個人データの保護の保証人は、労働者のインターネットブラウジングを無差別に監視したことでボルツァーノ市を制裁します。
ストーリーは、勤務時間中にFacebookとYouTubeのコンサルティングを求められた従業員に対する懲戒手続きから始まります。
当局は、その規定において、データの処理だけでなく、検査手順の前および最中の自治体の手口にも関係するいくつかの重要な要素を強調しています。
ケース
「市町村のコンピューターとの接続を求められた従業員からの苦情を受けて保証人が行った調査から、フェイスブックで40分以上、ユーチューブで3時間以上、非制度的活動を追跡し、 [...]彼は自分の仕事に関係のないインターネットページを調べていた」と、自治体が実施する従業員のインターネットブラウジングの監視とフィルタリングの活動が出現しました。
このようにして収集されたデータはXNUMXか月間保存され、ネットワークセキュリティの目的で特定のレポートが作成されました。
事件の分析と、自治体がこの監視をかなり長期間(約XNUMX年)実施した具体的な方法の分析は、いくつかの重要な側面をもたらしました。
1-適切な情報の欠如
自治体によって実行された処理は、雇用主によるインターネットアクセスの可能な制御に関する従業員への適切かつ具体的な情報がない状態で行われました。
ネットワークセキュリティの目的で自治体によって採用されたシステムは、元の構成で、外部インターネットサイトへの接続とリンクのフィルタリングとトレース、そのようなデータの保存とXNUMX日間の保存、およびレポートの抽出を可能にしました。個人ベースでも。
このシステムは、労働者と彼のワークステーションの直接識別を可能にし、直接識別可能な従業員によるネットワークサービスの活動と使用に関連するデータの体系的な収集を生み出しました。
自治体は、個人データの処理に関連する特定の情報を従業員に提供していませんでした。また、利用可能になったものでは、インターネットブラウジングに関連する個人データの処理への言及もありませんでした。
当局が入手し、調査中に分析した他の文書では、インターネット接続の追跡操作への言及がありましたが、文書はさまざまな義務を果たすために作成されたため、アートに必要なすべての重要な情報が含まれていませんでした。 規則の13であり、したがって、所有者が治療を開始する前に利害関係者に作成しなければならない情報を置き換えることはできませんでした。
2-最小化の原則
規則によれば、処理は、追求される合法的な目的に関して「必要」であり(規則の第6条、第1項)、その目的として、「適切で、関連性があり、必要なものに限定された」データのみを持っている必要があります。処理される目的に「(規則の第5条、第1項、文字c)」。
この点に関して、保証人は、管理の範囲(間接的または非意図的)は、セクター規制に準拠して実行されますが、大規模に実行することはできず、いずれの場合も、制限の少ない対策を試した後に実行する必要があることを強調します労働者の権利よりも。
当局は、仕事と専門の領域と厳密に私的な領域との間のあいまいな境界を強調し、従業員がサービスに接続されているという仮説においても、職場での労働者の機密性の期待を保護および保証する必要性を繰り返します雇用主が利用できるようにされたネットワークの、または個人のデバイスを介して会社のリソースを使用する。
反対に、分析されたケースでは、チェックが実行された具体的な方法は、エンティティによって呼び出された内部ネットワークの保護と安全性の目的に関して、必要性と比例性の原則を尊重していないことが明らかになりました。
実際、市町村が使用するシステムは、「従業員のナビゲーションデータを体系的に収集することにより、訪問したURLから推測できる、専門的な活動とは関係のない情報の処理を必然的に伴うため、雇用主の禁止とは対照的でした「労働者の専門的態度の評価とは関係のない」データを処理するための作業の、したがって芸術との関係。 アートを参照して、コードの113。 lの8。 20年1970月300日、n。 10とアート。 10年2003月276日の法令の13、n。 2021 "(XNUMX年XNUMX月XNUMX日の条例を逐語的に)。
業務遂行に関係のない活動(例えば、無関係なウェブサイトの閲覧、ファイルのアップロードまたはダウンロード、娯楽目的または仕事に関係のないネットワークサービスの使用)からなる、従業員によるインターネットブラウジングの不適切な使用のリスクを減らす必要性。実際、私生活へのいかなる形の干渉も正当化することはできませんが、非稼働領域に関連する情報が収集され、個人情報の処理が発生するのを防ぐのに適した技術的および組織的対策を提供することで満たすことができます。」アートの適用範囲に含まれる「無関係」。 コードの113
3-目的の制限
規則は、芸術において提供します。 5、「データは、特定の明示的な正当な目的のために収集され、その後、そのような目的と互換性のない方法で処理される必要があります」。
保証人が分析したケースでは、従業員のWebブラウジングに関連するデータが、元々は比例せず、個人データの保護に関する規制に準拠していない方法で収集および処理されていたため、この原則は尊重されませんでした。そして芸術に基づく適切な情報なしで。 規則の13は、その後、懲戒処分に異議を唱えるために使用されました。
当局にとって、懲戒手続の提出に関して自治体によって提供された指摘もまた価値がないことが証明された。
後者は、実際、収集されたデータが信頼できないため、制裁を課すことにはなりませんでした。また、労働者が必ずしも訪問したとは限らない一連のサイト(バナーにリンクされているなど)も報告されており、区別することはできませんでした。実際にアクセスしたサイトと、間接的/非自発的なナビゲーションを使用しているサイト。
収集されたデータは、前述の懲戒手続きを開始するために使用されたため、いずれの場合も処理されたため、収集されたデータの質の低さに関連する状況は、規制への準拠を評価する目的には関係ありません。
最後に、保証機関は、自治体によって実施された影響評価の欠如と、従業員の個人データの処理について規定された新しい労働組合協定の不適切性に留意します。
発見された違反について、また自治体の協力的かつ積極的な態度を考慮して、課された行政処分は83.000ユーロと定量化されました。