(Федерика Де Стефани, юрист и ответственный за Aidr Regione Lombardia) Гарант по защите личных данных санкционирует муниципалитет Больцано за неизбирательный контроль за просмотром Интернета работниками.
История начинается с дисциплинарного производства в отношении сотрудника, которому было предъявлено обвинение за консультации с Facebook и YouTube в рабочее время.
В своем положении Управление подчеркивает некоторые важные элементы, которые касаются не только обработки данных, но и методов работы муниципалитета до и во время процедуры проверки.
Случай
Из расследований, проведенных Гарантом после жалобы, представленной сотрудником, которому было предъявлено обвинение в связи "с компьютером муниципалитета, более 40 минут на facebook и более 3 часов на YouTube, чтобы следить за неинституциональной деятельностью и что [...] он просматривал Интернет-страницы, не связанные с его работой », - появилась деятельность по мониторингу и фильтрации просмотра Интернет-страниц сотрудниками, осуществляемая муниципалитетом.
Собранные таким образом данные затем хранились в течение месяца, и для целей сетевой безопасности были созданы специальные отчеты.
Анализ дела и конкретных способов, которыми муниципалитет проводил этот мониторинг, в том числе в течение довольно длительного периода времени (около десяти лет), выявил некоторые важные аспекты.
1- Отсутствие адекватной информации
Обработка, проведенная муниципалитетом, происходила в отсутствие адекватной и конкретной информации для сотрудников о возможных мерах контроля за доступом в Интернет со стороны работодателя.
система, принятая муниципалитетом для целей сетевой безопасности, в исходной конфигурации, позволяла фильтровать и отслеживать подключения и ссылки на внешние интернет-сайты, хранить такие данные и их сохранение в течение тридцати дней, а также извлекать отчеты, даже в индивидуальном порядке.
Эта система позволила напрямую идентифицировать работника и его рабочее место и привела к систематическому сбору данных, касающихся активности и использования сетевых услуг непосредственно идентифицируемыми сотрудниками.
Муниципалитет не предоставил сотрудникам какую-либо конкретную информацию, касающуюся обработки персональных данных, а также в тех, которые были предоставлены, не было никаких ссылок на обработку персональных данных, связанных с просмотром Интернета им.
В других документах, предоставленных Управлению и проанализированных в ходе расследования, была ссылка на операции по отслеживанию подключения к Интернету, но, поскольку документы были составлены для выполнения различных обязательств, они не содержали всей существенной информации, требуемой из ст. 13 Регламента и, следовательно, не может заменить информацию, которую владелец должен предоставить заинтересованным сторонам перед началом обработки.
2 - Принцип минимизации
Согласно Регламенту, обработка должна быть «необходимой» по отношению к преследуемой законной цели (пункт 6 статьи 1 Регламента) и иметь в качестве объекта только данные, «адекватные, актуальные и ограниченные тем, что необходимо в отношении цели, для которых обрабатываются »(ст. 5, п. 1, п.) Регламента).
В этой связи Гарант подчеркивает, что объем мер контроля (косвенных или непреднамеренных), хотя и осуществляется в соответствии с отраслевыми правилами, не может осуществляться массово и в любом случае должен проводиться после экспериментов с менее ограничительными мерами. чем права рабочих.
Власть, подчеркивая размытую границу между работой и профессиональной сферой и сугубо частной сферой, также повторяет необходимость защищать и гарантировать ожидания конфиденциальности работника на рабочем месте даже в гипотезе, в которой работник подключен к услугам. сети, доступной для работодателя, или использовать ресурсы компании также через личные устройства.
В проанализированном случае, напротив, выяснилось, что конкретные методы, с помощью которых проводились проверки, не соблюдали принципы необходимости и соразмерности в отношении цели защиты и безопасности внутренней сети, на которую ссылается Организация.
Система, используемая муниципалитетом, по сути, «путем систематического сбора навигационных данных сотрудников неизбежно включала в себя обработку информации, также не связанной с профессиональной деятельностью, выводимой из посещенных URL-адресов, и поэтому противоречила запрету на работа по обработке данных, «не связанных с оценкой профессионального отношения работника» и, следовательно, со ст. 113 Кодекса со ссылкой на ст. 8 л. 20 мая 1970 г., н. 300 и арт. 10 Законодательного декрета от 10 сентября 2003 г., п. 276 »(так дословно постановление от 13 мая 2021 г.).
Необходимость снизить риск ненадлежащего использования сотрудниками работы в Интернете, состоящего из действий, не связанных с производительностью работы (например, просмотр нерелевантных веб-сайтов, загрузка или скачивание файлов, использование сетевых услуг в развлекательных целях или не связанных с работой) не может , на самом деле, оправдывают любую форму вмешательства в частную жизнь, но могут быть удовлетворены путем разработки технических и организационных мер, подходящих для предотвращения сбора любой информации, относящейся к нерабочей сфере, что приводит к обработке личной информации, "не имеющей отношения к делу", которая подпадают под сферу применения ст. 113 Кодекса
3- Ограничение цели
Регламент предусматривает, в ст. 5, что «данные должны собираться» для конкретных, явных законных целей и впоследствии обрабатываться таким образом, который не является несовместимым с такими целями ».
В случае, проанализированном Гарантом, этот принцип не был соблюден, поскольку данные, относящиеся к просмотру веб-страниц сотрудниками, первоначально собирались и обрабатывались несоразмерным образом и не соответствовали положениям о защите личных данных. данные, и без соответствующей информации в соответствии со ст. 13 Регламента впоследствии были использованы для оспаривания дисциплинарных взысканий.
Для Управления указания, предоставленные муниципалитетом относительно возбуждения дисциплинарной процедуры, также оказались не имеющими значения.
Последнее, по сути, не привело к наложению санкций, поскольку собранные данные были ненадежными, а также сообщалось о ряде сайтов (например, связанных с баннерами), которые не обязательно посещались работником, без возможности различения между фактически посещенные сайты и сайты с косвенной / непроизвольной навигацией.
Обстоятельство, связанное с низким качеством собранных данных, не имеет отношения к целям оценки соблюдения Регламента, поскольку собранные данные в любом случае были обработаны, поскольку они были использованы для инициирования вышеупомянутой дисциплинарной процедуры.
Наконец, Гарант отмечает отсутствие оценки воздействия, проведенной муниципалитетом, и непригодность нового профсоюзного соглашения, предусмотренного для обработки личных данных сотрудников.
За выявленные нарушения и с учетом инициативного и активного отношения муниципалитета наложенная административная санкция была оценена в 83.000 XNUMX евро.