(Federica De Stefani, právnička a zodpovedná za Aidr Regione Lombardia) Ručiteľ za ochranu osobných údajov sankcionuje obec Bolzano za to, že bez rozdielu sledovala prehľadávanie pracovníkov po internete.
Príbeh sa začína disciplinárnym konaním proti zamestnancovi, ktorý bol v pracovnej dobe vyzvaný na konzultáciu s Facebookom a YouTube.
Dozorný úrad vo svojom ustanovení zdôrazňuje niektoré dôležité prvky, ktoré sa týkajú nielen spracovania údajov, ale aj spôsobu činnosti magistrátu pred a počas inšpekčného postupu.
Prípad
Z vyšetrovaní, ktoré vykonal Ručiteľ na základe sťažnosti podanej zamestnancom, ktorý bol napadnutý pre spojenie „s počítačom magistrátu, bolo potrebné viac ako 40 minút na facebooku a viac ako 3 hodiny na youtube sledovať neinštitucionálne činnosti a že [...] konzultoval internetové stránky, ktoré nesúvisia s jeho prácou “, sa objavila aktivita monitorovania a filtrovania internetového prehľadávania zamestnancov, ktorá sa uskutočňovala magistrátom.
Takto zhromaždené údaje sa potom ukladali mesiac a na účely zabezpečenia siete sa vytvárali konkrétne správy.
Analýza aféry a konkrétnych spôsobov, ako magistrát uskutočňoval toto monitorovanie, okrem iného na pomerne dlhú dobu (asi desať rokov), priniesol niektoré dôležité aspekty.
1- Nedostatok adekvátnych informácií
Spracovanie, ktoré vykonal magistrát, prebehlo bez dostatočných a konkrétnych informácií pre zamestnancov o možných kontrolách prístupu zamestnávateľa na internet.
systém, ktorý samospráva prijala z bezpečnostných dôvodov, v pôvodnej konfigurácii umožňoval filtrovanie a sledovanie pripojení a odkazov na externé internetové stránky, uchovávanie týchto údajov a ich uchovávanie po dobu tridsiatich dní, ako aj extrakciu správ, aj individuálne.
Tento systém umožnil priamu identifikáciu pracovníka a jeho pracovnej stanice a spôsobil systematické zhromažďovanie údajov o činnosti a využívaní sieťových služieb priamo identifikovateľnými zamestnancami.
Obec neposkytla zamestnancom žiadne konkrétne informácie týkajúce sa spracovania osobných údajov, ani v tých, ktoré boli sprístupnené, neexistoval žiadny odkaz na spracovanie osobných údajov týkajúcich sa prehliadania internetu.
V ďalších dokumentoch, ktoré boli dostupné úradu a analyzované počas prešetrovania, sa nachádzal odkaz na operácie sledovania internetového pripojenia, ale keďže dokumenty boli vypracované s cieľom splniť rôzne povinnosti, neobsahovali všetky základné informácie požadované z čl. 13 nariadenia, a preto nemohol nahradiť informácie, ktoré musí vlastník poskytnúť zainteresovaným stranám pred začatím liečby.
2 - Princíp minimalizácie
Podľa nariadenia musí byť spracúvanie „nevyhnutné“ z hľadiska sledovaného zákonného účelu (článok 6 ods. 1 nariadenia) a jeho predmetom sú iba „adekvátne, relevantné a obmedzené údaje týkajúce sa: účely, na ktoré sa spracúvajú “(článok 5 ods. 1 písm. c) nariadenia).
V tejto súvislosti garant zdôrazňuje, že rozsah kontrol (nepriamych alebo neúmyselných), aj keď sa vykonávajú v súlade s odvetvovými predpismi, sa nemôže vykonávať hromadne a v každom prípade sa musí vykonať po experimentovaní s menej obmedzujúcimi opatreniami. než práva pracovníkov.
Úrad zdôrazňujúc nejasnú hranicu medzi pracovnou a profesionálnou sférou a oblasťou prísne súkromnou tiež pripomína potrebu chrániť a zaručiť dôvernosť pracovníka na pracovisku aj pri hypotéze, že zamestnanec je pripojený k službám siete sprístupnené zamestnávateľovi alebo využívať firemný zdroj tiež prostredníctvom osobných zariadení.
V analyzovanom prípade sa naopak ukázalo, že konkrétne metódy, ktorými sa kontroly vykonávali, nerešpektovali zásady nevyhnutnosti a proporcionality, pokiaľ ide o účel ochrany a bezpečnosti vnútornej siete, na ktorý sa subjekt odvolával.
Systém, ktorý obec používa, v skutočnosti „uskutočňovaním systematického zhromažďovania údajov o navigácii zamestnancov nevyhnutne zahŕňal spracovanie informácií, ktoré nesúvisia s profesionálnou činnosťou, čo vyplýva zo navštívených adries URL, a bol preto v rozpore so zákazom práca na spracovaní údajov „nesúvisí s hodnotením profesionálneho prístupu pracovníka“ a teda s čl. 113 kódexu, s odkazom na čl. 8 z l. 20. mája 1970, n. 300 a čl. 10 legislatívneho dekrétu 10. septembra 2003, č. 276 “(doslovne teda vyhláška z 13. mája 2021).
Potreba znížiť riziko nesprávneho používania prehľadávania internetu zamestnancami, ktoré pozostávajú z činností nesúvisiacich s pracovným výkonom (napríklad prezeranie irelevantných webových stránok, nahrávanie alebo sťahovanie súborov, „používanie sieťových služieb na rekreačné účely alebo nesúvisiace s prácou“), nemôže byť , v skutočnosti ospravedlňujú akúkoľvek formu zásahu do súkromného života, ale môžu byť uspokojení prípravou technických a organizačných opatrení vhodných na zabránenie zhromažďovaniu akýchkoľvek informácií týkajúcich sa nepracovnej sféry, ktoré vedú k spracovaniu osobných údajov, „irelevantné“, že spadajú do rozsahu pôsobnosti čl. 113 zákonníka
3 - Obmedzenie účelu
Nariadenie ustanovuje v čl. 5, že „údaje musia byť„ zhromaždené na konkrétne, výslovne legitímne účely a následne spracované spôsobom, ktorý nie je nezlučiteľný s týmito účelmi “.
V prípade analyzovanom Ručiteľom táto zásada nebola dodržaná, pretože údaje týkajúce sa prehliadania webu zamestnancami, pôvodne zhromaždené a spracované spôsobom, ktorý nie je primeraný a nie sú v súlade s predpismi o ochrane osobných údajov údajov a bez adekvátnych informácií podľa čl. 13 nariadenia, boli následne použité na vznesenie disciplinárneho obvinenia.
Pre úrad sa tiež ukázalo, že údaje poskytnuté magistrátom týkajúce sa podania disciplinárneho konania nemali žiadnu hodnotu.
Posledné menované v skutočnosti neviedli k uvaleniu sankcií, pretože zhromaždené údaje neboli spoľahlivé. Uvádzali tiež sériu webov (napríklad prepojených s transparentmi), ktoré pracovník nevyhnutne nenavštívil, bez možnosti rozlišovať medzi skutočne navštívená stránka a osoby s nepriamou / nedobrovoľnou navigáciou.
Okolnosť súvisiaca s nízkou kvalitou zhromaždených údajov nie je relevantná na účely posúdenia súladu s nariadením, pretože zhromaždené údaje boli v každom prípade spracované, pretože boli použité na začatie vyššie uvedeného disciplinárneho konania.
Na záver záručný orgán berie na vedomie chýbajúce hodnotenie vplyvu vykonané mestom a nevhodnosť novej dohody o odboroch ustanovenej pre spracovanie osobných údajov zamestnancov.
Za zistené porušenia a vzhľadom na spoločný a proaktívny prístup magistrátu bola uložená administratívna sankcia vyčíslená na 83.000 XNUMX €.