(door Federica De Stefani, advocaat en verantwoordelijk voor Aidr Regione Lombardia) De Garant voor de bescherming van persoonsgegevens bestraft de gemeente Bolzano voor het lukraak toezicht houden op het internetten van werknemers.
Het verhaal begint met een tuchtprocedure tegen een medewerker die werd uitgedaagd voor het raadplegen van Facebook en YouTube tijdens werkuren.
De Autoriteit onderstreept in haar bepaling enkele belangrijke elementen die niet alleen betrekking hebben op de verwerking van gegevens, maar ook op de modus operandi van de gemeente, voor en tijdens de inspectieprocedure.
Het geval
Uit de onderzoeken uitgevoerd door de Garant naar aanleiding van de klacht ingediend door een werknemer die werd uitgedaagd voor de verbinding "met de computer van de gemeente, gedurende meer dan 40 minuten op Facebook en gedurende meer dan 3 uur op YouTube, om niet-institutionele activiteiten te volgen en dat hij internetpagina's had geraadpleegd die geen verband hielden met zijn werk ”, een activiteit van monitoring en filtering van het surfen op internet van werknemers die door de gemeente werd uitgevoerd.
De aldus verzamelde gegevens werden vervolgens een maand bewaard en er werden specifieke rapporten gemaakt voor netwerkbeveiligingsdoeleinden.
De analyse van de affaire en van de concrete wijze waarop de gemeente deze monitoring onder meer gedurende een vrij langere periode (ongeveer tien jaar) heeft uitgevoerd, heeft een aantal belangrijke aspecten naar voren gebracht.
1- Gebrek aan adequate informatie
De verwerking door de gemeente heeft plaatsgevonden bij gebrek aan adequate en specifieke informatie aan werknemers over mogelijke controles op internettoegang door de werkgever.
het door de gemeente goedgekeurde systeem voor netwerkbeveiligingsdoeleinden, in de oorspronkelijke configuratie, maakte het mogelijk om verbindingen en links naar externe internetsites te filteren en te traceren, deze gegevens op te slaan en te bewaren gedurende dertig dagen, evenals de extractie van rapporten, zelfs op individuele basis.
Dit systeem heeft de directe identificatie van de werknemer en zijn werkplek mogelijk gemaakt en heeft geleid tot een systematische verzameling van gegevens met betrekking tot de activiteit en het gebruik van netwerkdiensten door direct identificeerbare werknemers.
De gemeente had werknemers geen specifieke informatie verstrekt met betrekking tot de verwerking van persoonsgegevens, noch werd in de ter beschikking gestelde informatie verwezen naar de verwerking van persoonsgegevens met betrekking tot internetten door haar.
In andere documenten, die ter beschikking van de Autoriteit werden gesteld en tijdens het onderzoek werden geanalyseerd, werd verwezen naar de traceringsoperaties voor de internetverbinding, maar aangezien de documenten waren opgesteld om aan verschillende verplichtingen te voldoen, bevatten ze niet alle essentiële informatie die vereist is uit art. 13 van de verordening en kan daarom niet in de plaats komen van de informatie die de eigenaar, voordat hij met de behandeling begint, aan de belanghebbenden moet verstrekken.
2 - Principe van minimalisatie
Volgens de verordening moet de verwerking "noodzakelijk" zijn met het oog op het nagestreefde rechtmatige doel (artikel 6, lid 1 van de verordening) en mogen alleen de gegevens "adequaat, relevant en beperkt tot wat nodig is met betrekking tot de doeleinden waarvoor worden verwerkt "(art. 5, lid 1, letter c), van de verordening).
In dit verband onderstreept de Garant dat de reikwijdte van de controles (indirect of onopzettelijk), hoewel uitgevoerd in overeenstemming met de sectorregelgeving, niet massaal kan worden uitgevoerd en in ieder geval moet worden uitgevoerd na het experimenteren met minder beperkende maatregelen dan de werknemersrechten.
De Autoriteit, die de vage grens tussen de werk- en professionele sfeer en de strikt privé-sfeer onderstreept, herhaalt ook de noodzaak om de verwachtingen van vertrouwelijkheid van de werknemer op de werkplek te beschermen en te garanderen, zelfs in de hypothese waarin de werknemer verbonden is met de diensten van het netwerk dat aan de werkgever ter beschikking wordt gesteld of een bedrijfshulpmiddel ook via persoonlijke apparaten gebruiken.
In de geanalyseerde casus bleek daarentegen dat de concrete methoden waarmee de controles werden uitgevoerd, niet in overeenstemming waren met de beginselen van noodzakelijkheid en evenredigheid met betrekking tot het door de Entiteit ingeroepen doel van bescherming en veiligheid van het interne netwerk.
Het systeem dat door de gemeente wordt gebruikt, "door een systematische verzameling van navigatiegegevens van werknemers uit te voeren, omvatte onvermijdelijk de verwerking van informatie die ook geen verband hield met professionele activiteit, af te leiden uit de bezochte URL's, en was daarom in strijd met het verbod voor de werk om gegevens te verwerken "die geen verband houden met de evaluatie van de professionele houding van de werknemer" en dus met art. 113 van de Code, met verwijzing naar art. 8 van de l. 20 mei 1970, n. 300 en kunst. 10 van wetsdecreet 10 september 2003, n. 276" (dus letterlijk de verordening van 13 mei 2021).
De noodzaak om het risico te verminderen van oneigenlijk gebruik van internetten door werknemers, bestaande uit activiteiten die geen verband houden met werkprestaties (bijvoorbeeld het bekijken van irrelevante websites, uploaden of downloaden van bestanden, 'gebruik van netwerkdiensten voor recreatieve doeleinden of niet gerelateerd aan werk') kan niet , in feite elke vorm van inmenging in het privéleven rechtvaardigen, maar kan worden voldaan door technische en organisatorische maatregelen voor te bereiden die geschikt zijn om te voorkomen dat informatie met betrekking tot de niet-werkende sfeer wordt verzameld, die aanleiding geeft tot de verwerking van persoonlijke informatie, "irrelevant" dat vallen onder het toepassingsgebied van art. 113 van de Code
3- Beperking van het doel
De verordening bepaalt in art. 5, dat "de gegevens moeten worden" verzameld voor specifieke, expliciet legitieme doeleinden en vervolgens worden verwerkt op een manier die niet onverenigbaar is met dergelijke doeleinden ".
In het geval dat door de Garant is geanalyseerd, is dit principe niet gerespecteerd, aangezien de gegevens met betrekking tot het surfen op het web van werknemers, oorspronkelijk verzameld en verwerkt op een manier die niet evenredig is en niet in overeenstemming is met de regelgeving inzake de bescherming van persoonlijke gegevens, en zonder adequate informatie op grond van art. 13 van de verordeningen, werden vervolgens gebruikt om tuchtrechtelijke aanklachten aan te vechten.
Ook voor het College bleken de aanwijzingen van de gemeente met betrekking tot het indienen van de tuchtprocedure geen waarde te hebben.
Dit laatste leidde in feite niet tot het opleggen van sancties, aangezien de verzamelde gegevens niet betrouwbaar waren en ook een reeks sites (bv. gekoppeld aan banners) rapporteerden die niet noodzakelijkerwijs door de werknemer waren bezocht, zonder de mogelijkheid om onderscheid te maken tussen de daadwerkelijk bezochte site en die met indirecte / onvrijwillige navigatie.
De omstandigheid met betrekking tot de slechte kwaliteit van de verzamelde gegevens is niet relevant voor de beoordeling van de naleving van de verordening, aangezien de verzamelde gegevens in ieder geval zijn verwerkt, aangezien ze zijn gebruikt om de bovengenoemde tuchtprocedure in te leiden.
Ten slotte wijst de Garantautoriteit op het ontbreken van een effectbeoordeling door de gemeente en de ongeschiktheid van de nieuwe vakbondsovereenkomst die is vastgelegd voor de verwerking van persoonsgegevens van werknemers.
Voor de geconstateerde overtredingen en gelet op de meedenkende en proactieve opstelling van de gemeente is de opgelegde bestuurlijke sanctie begroot op € 83.000.