(Federica De Stefani, prawniczka i odpowiedzialna za Aidr Regione Lombardia) Gwarant ochrony danych osobowych nakłada sankcje na gminę Bolzano za bezkrytyczne monitorowanie przeglądania Internetu przez pracowników.
Historia zaczyna się od postępowania dyscyplinarnego przeciwko pracownikowi, który został wezwany do konsultowania się z Facebookiem i YouTube w godzinach pracy.
Urząd w swoim przepisie podkreśla kilka ważnych elementów, które dotyczą nie tylko przetwarzania danych, ale także sposobu działania Gminy przed i w trakcie procedury kontrolnej.
Sprawa
Z dochodzeń przeprowadzonych przez Gwaranta w następstwie skargi złożonej przez pracownika, który został zakwestionowany za połączenie „z komputerem Urzędu, przez ponad 40 minut na facebooku i przez ponad 3 godziny na youtube, w celu śledzenia działań pozainstytucjonalnych oraz że [...] skonsultował strony internetowe niezwiązane z jego pracą ”, pojawiła się działalność polegająca na monitorowaniu i filtrowaniu przeglądania Internetu przez pracowników prowadzona przez Gminę.
Zebrane w ten sposób dane były następnie przechowywane przez miesiąc, a na potrzeby bezpieczeństwa sieci tworzone były konkretne raporty.
Analiza historii i konkretnych sposobów, w jakie gmina prowadziła ten monitoring, między innymi przez dość długi okres czasu (około dziesięciu lat), ujawniła kilka ważnych aspektów.
1- Brak odpowiednich informacji
Przetwarzanie prowadzone przez Gminę odbywało się przy braku odpowiednich i konkretnych informacji dla pracowników dotyczących możliwości kontroli dostępu do Internetu przez pracodawcę.
przyjęty przez Gminę system na potrzeby bezpieczeństwa sieci, w pierwotnej konfiguracji, umożliwiał filtrowanie i śledzenie połączeń i linków do zewnętrznych stron internetowych, przechowywanie tych danych oraz ich przechowywanie przez okres XNUMX dni, a także pobieranie raportów, nawet indywidualnie.
System ten umożliwił bezpośrednią identyfikację pracownika i jego stanowiska pracy oraz dał początek systematycznemu gromadzeniu danych dotyczących działalności i korzystania z usług sieciowych przez bezpośrednio identyfikowalnych pracowników.
Gmina nie udzieliła pracownikom żadnych konkretnych informacji dotyczących przetwarzania danych osobowych, ani w udostępnionych nie było wzmianki o przetwarzaniu danych osobowych związanych z przeglądaniem Internetu przez nich.
W innych dokumentach, udostępnionych Urzędowi i analizowanych w toku postępowania, pojawiła się wzmianka o operacjach śledzenia łączy internetowych, ale ponieważ dokumenty te zostały sporządzone w celu wypełnienia innych obowiązków, nie zawierały wszystkich istotnych informacji wymaganych na podstawie art. 13 Rozporządzenia iw związku z tym nie może zastąpić informacji, które właściciel musi przekazać zainteresowanym stronom przed rozpoczęciem leczenia.
2 - Zasada minimalizacji
Zgodnie z Rozporządzeniem przetwarzanie musi być „niezbędne” do zgodnego z prawem celu realizowanego (art. 6 ust. 1 Rozporządzenia) i mieć za przedmiot wyłącznie dane „adekwatne, istotne i ograniczone do tego, co jest niezbędne ze względu na w jakich celach są przetwarzane” (art. 5 ust. 1 lit. c) Rozporządzenia).
W związku z tym Gwarant podkreśla, że zakres kontroli (pośrednich lub niezamierzonych), choć przeprowadzanych zgodnie z przepisami sektorowymi, nie może być przeprowadzany masowo i musi w każdym razie zostać przeprowadzony po eksperymentowaniu z mniej restrykcyjnymi środkami niż prawa pracownicze.
Urząd, podkreślając zatartą granicę między sferą pracy i zawodu a sferą ściśle prywatną, przypomina również o konieczności ochrony i zagwarantowania poufności pracownika w miejscu pracy nawet w hipotezie, w której pracownik jest związany z usługami sieci udostępnianej pracodawcy lub korzystania z zasobów firmy również za pośrednictwem urządzeń osobistych.
Przeciwnie, w analizowanym przypadku okazało się, że konkretne metody, jakimi przeprowadzono kontrole, nie respektowały zasad konieczności i proporcjonalności w odniesieniu do celu ochrony i bezpieczeństwa sieci wewnętrznej, na który powołuje się Podmiot.
System używany przez gminę w rzeczywistości „poprzez systematyczne gromadzenie danych nawigacyjnych pracowników nieuchronnie wiązał się z przetwarzaniem informacji również niezwiązanych z działalnością zawodową, które można wywnioskować z odwiedzanych adresów URL, a zatem był sprzeczny z zakazem dla pracodawcy pracy do przetwarzania danych „niezwiązanych z oceną postawy zawodowej pracownika”, a zatem z art. 113 Kodeksu, w nawiązaniu do art. 8 l. 20 maja 1970, przyp. 300 i art. 10 dekretu ustawodawczego z dnia 10 września 2003 r., n. 276” (tak dosłownie zarządzenie z 13 maja 2021 r.).
Konieczność ograniczenia ryzyka niewłaściwego korzystania z przeglądania Internetu przez pracowników, polegającego na czynnościach niezwiązanych z wykonywaniem pracy (np. przeglądanie nieistotnych stron internetowych, przesyłanie lub pobieranie plików, „korzystanie z usług sieciowych w celach rekreacyjnych lub niezwiązanych z pracą) nie może w rzeczywistości uzasadniają jakąkolwiek formę ingerencji w życie prywatne, ale mogą być zaspokojone poprzez zapewnienie odpowiednich środków technicznych i organizacyjnych, aby zapobiec gromadzeniu jakichkolwiek informacji dotyczących sfery niepracującej, powodujących przetwarzanie danych osobowych, „nieistotne ", które mieszczą się w zakresie stosowania art. 113 Kodeksu
3- Ograniczenie celu
Rozporządzenie przewiduje w art. 5, że „dane muszą być” zbierane w konkretnych, jednoznacznych prawnie uzasadnionych celach, a następnie przetwarzane w sposób niezgodny z tymi celami”.
W przypadku analizowanym przez Gwaranta zasada ta nie została zachowana, zważywszy, że pierwotnie zbierane i przetwarzane w sposób nieproporcjonalny i niezgodny z przepisami o ochronie danych osobowych dane dotyczące przeglądania stron internetowych pracowników danych i bez odpowiedniej informacji na podstawie art. 13 Regulaminu, zostały następnie wykorzystane do zakwestionowania zarzutów dyscyplinarnych.
Dla Urzędu wskazówki przekazane przez Gminę dotyczące wszczęcia postępowania dyscyplinarnego również okazały się bezwartościowe.
To ostatnie w rzeczywistości nie doprowadziło do nałożenia sankcji, ponieważ zebrane dane nie były wiarygodne, zgłaszając również szereg witryn (np. powiązanych z banerami), które niekoniecznie były odwiedzane przez pracownika, bez możliwości rozróżnienia między strony faktycznie odwiedzane oraz te z nawigacją pośrednią/przymusową.
Okoliczność związana z niską jakością gromadzonych danych nie ma znaczenia dla oceny zgodności z Rozporządzeniem, ponieważ zebrane dane i tak były przetwarzane, ponieważ zostały wykorzystane do wszczęcia wspomnianego postępowania dyscyplinarnego.
Na koniec Urząd Gwaranta odnotowuje brak oceny skutków przeprowadzonej przez Gminę oraz nieprzydatność nowej umowy związkowej przewidzianej do przetwarzania danych osobowych pracowników.
W przypadku stwierdzonych naruszeń oraz biorąc pod uwagę współpracę i proaktywną postawę gminy, nałożona sankcja administracyjna została określona ilościowo na 83.000 XNUMX EUR.