(Aidr Regione Lombardia'dan avukat ve sorumlu Federica De Stefani tarafından) Kişisel verilerin korunması için Garantör, Bolzano Belediyesi'ni, ayrım gözetmeksizin işçilerin internette gezinmesini izlediği için cezalandırıyor.
Hikaye, mesai saatleri içinde Facebook ve YouTube'a danışmanlık yaptığı için itiraz edilen bir çalışana karşı disiplin soruşturmasıyla başlıyor.
Kurum, hükmünde, yalnızca verilerin işlenmesini değil, aynı zamanda Belediyenin denetim prosedürü öncesi ve sırasında çalışma şeklini de ilgilendiren bazı önemli unsurların altını çizmektedir.
Dava
"Belediyenin bilgisayarıyla bağlantı kurmak" iddiasıyla facebook'ta 40 dakikadan fazla, youtube'da 3 saatten fazla, kurumsal olmayan faaliyetleri takip etmek ve [...] işiyle ilgili olmayan internet sayfalarına başvurduğunu” söyleyince, Belediye tarafından gerçekleştirilen çalışanların internet taramalarını izleme ve filtreleme faaliyeti ortaya çıktı.
Bu şekilde toplanan veriler bir ay süreyle saklandı ve ağ güvenliği amacıyla özel raporlar oluşturuldu.
Olayın ve Belediyenin bu izlemeyi diğer şeylerin yanı sıra oldukça uzun bir süre boyunca (yaklaşık on yıl) yürüttüğü somut yolların analizi, bazı önemli hususları ortaya çıkardı.
1- Yeterli bilgi eksikliği
Belediye tarafından gerçekleştirilen işleme, işveren tarafından İnternet erişimi üzerindeki olası kontrollere ilişkin olarak çalışanlara yeterli ve spesifik bilgilerin verilmediği durumlarda gerçekleştirilmiştir.
Belediye tarafından ağ güvenliği amacıyla benimsenen sistem, orijinal konfigürasyonda, harici internet sitelerine bağlantıların ve bağlantıların filtrelenmesine ve izlenmesine, bu verilerin otuz gün boyunca saklanmasına ve korunmasına ve ayrıca raporların çıkarılmasına izin verdi, hatta bireysel olarak.
Bu sistem, çalışanın ve iş istasyonunun doğrudan tanımlanmasına izin verdi ve doğrudan tanımlanabilir çalışanlar tarafından ağ hizmetlerinin etkinliği ve kullanımı ile ilgili sistematik bir veri toplanmasına yol açtı.
Belediye, çalışanlara kişisel verilerin işlenmesiyle ilgili herhangi bir özel bilgi vermemiştir ve sunulanlarda, İnternet'te gezinmeyle ilgili kişisel verilerin işlenmesine ilişkin herhangi bir atıfta bulunulmamıştır.
Kuruma sunulan ve soruşturma sırasında incelenen diğer belgelerde, İnternet bağlantı izleme işlemlerine atıfta bulunulmuştur, ancak belgeler farklı yükümlülükleri yerine getirmek üzere düzenlendiğinden, Sanat'tan istenen tüm temel bilgileri içermemektedir. Yönetmeliğin 13. maddesi uyarınca mal sahibinin tedaviye başlamadan önce vermesi gereken bilgileri ilgililere değiştiremez.
2 - Minimizasyon ilkesi
Yönetmeliğe göre, işleme, izlenen yasal amaç bakımından "gerekli" olmalı (Yönetmeliğin 6. Maddesi, 1. paragrafı) ve amacı yalnızca "yeterli, ilgili ve gerekli olanla sınırlı" verilere sahip olmalıdır. işlenme amaçlarına göre "(Yönetmeliğin 5. maddesinin 1. fıkrası, c harfi).
Bu bağlamda Garantör, kontrollerin kapsamının (dolaylı veya kasıtsız) sektör mevzuatına uygun olarak yapılmasına rağmen toplu olarak gerçekleştirilemeyeceğini ve her halükarda daha az sınırlayıcı tedbirler denenerek yapılması gerektiğinin altını çizer. işçi haklarından daha
Kurum, iş ve meslek alanı ile kesinlikle özel alan arasındaki bulanık sınırın altını çizerek, çalışanın hizmetlere bağlı olduğu hipotezinde bile, işyerinde çalışanın gizlilik beklentilerinin korunması ve güvence altına alınması gerektiğini yineler. işverene sağlanan ağ veya kişisel cihazlar aracılığıyla bir şirket kaynağının kullanılması.
İncelenen olayda ise tam tersine, kontrollerin gerçekleştirildiği somut yöntemlerin, Tüzel Kişi tarafından talep edilen iç ağın korunması ve güvenliğinin sağlanması amacıyla gereklilik ve orantılılık ilkelerine uygun olmadığı ortaya çıkmıştır.
Belediye tarafından kullanılan sistem, aslında, "çalışan navigasyon verilerinin sistematik bir şekilde toplanmasının gerçekleştirilmesi, kaçınılmaz olarak, mesleki faaliyetle ilgili olmayan, ziyaret edilen URL'lerden çıkarılabilen bilgilerin işlenmesini de içeriyordu ve bu nedenle işveren için yasakla çelişiyordu. "işçinin mesleki tutumunun değerlendirilmesi ile ilgili olmayan" ve dolayısıyla sanatla ilgili verileri işlemek için çalışmak. Sanata atıfta bulunarak Kodun 113. 8 l. 20 Mayıs 1970, n. 300 ve sanat. 10 Eylül 10 tarihli Kanun Hükmünde Kararname, n. 2003".
İş performansıyla ilgili olmayan faaliyetlerden (örneğin, alakasız web sitelerini görüntüleme, dosya yükleme veya indirme, 'eğlence amaçlı veya işle ilgili olmayan ağ hizmetlerinin kullanımı) oluşan, çalışanlar tarafından İnternet'te gezinmenin uygunsuz kullanımı riskini azaltma ihtiyacı, aslında, özel hayata her türlü müdahaleyi haklı çıkarmakla birlikte, kişisel bilgilerin işlenmesine yol açan, çalışma dışı alanla ilgili herhangi bir bilginin toplanmasını önlemek için uygun teknik ve organizasyonel önlemler hazırlanarak tatmin edilebilir, "ilgisiz" Sanatın uygulama kapsamına girer. Kodun 113
3- Amacın Sınırlandırılması
Yönetmelik, sanatta sağlar. 5, "veriler" belirli, açık meşru amaçlar için toplanmalı ve daha sonra bu amaçlarla bağdaşmayacak şekilde işlenmelidir ".
Garantör tarafından incelenen durumda, çalışanların web taramasına ilişkin verilerin orijinal olarak orantılı olmayan bir şekilde toplandığı ve işlendiği ve kişisel hakların korunmasına ilişkin düzenlemelere uymadığı göz önüne alındığında, bu ilkeye uyulmamıştır. veri ve sanat uyarınca yeterli bilgi olmadan. Yönetmeliklerin 13'ü daha sonra disiplin suçlamalarına itiraz etmek için kullanıldı.
Kurum için, disiplin soruşturmasının açılmasıyla ilgili olarak Belediye tarafından verilen bildirimlerin de bir değeri olmadığı ortaya çıktı.
İkincisi, aslında, toplanan veriler güvenilir olmadığı için yaptırımların uygulanmasına yol açmadı ve ayrıca, işçi tarafından mutlaka ziyaret edilmeyen bir dizi siteyi (ör. gerçekten ziyaret edilen site ve dolaylı/istem dışı gezinmeye sahip olanlar.
Toplanan verilerin kalitesizliğine ilişkin durum, söz konusu disiplin prosedürünü başlatmak için kullanılmış olduklarından, toplanan veriler her halükarda işlenmiş olduğundan, Tüzüğe uygunluğun değerlendirilmesi amaçlarıyla ilgili değildir.
Son olarak, Garantör Makam, Belediye tarafından gerçekleştirilen bir etki değerlendirmesinin yapılmadığını ve çalışanların kişisel verilerinin işlenmesi için öngörülen yeni sendikal sözleşmenin uygun olmadığını not eder.
Tespit edilen ihlaller için ve Belediye'nin işbirlikçi ve proaktif tutumu dikkate alınarak uygulanan idari yaptırım miktarı 83.000 Avro olarak belirlendi.