(作者为 Federica De Stefani,律师,负责 Aidr Regione Lombardia) 保护个人数据的担保人对博尔扎诺市政府不加区分地监控工人的互联网浏览进行了制裁。
故事开始于一名员工因在工作时间咨询 Facebook 和 YouTube 而受到质疑的纪律处分程序。
管理局在其规定中强调了一些重要要素,这些要素不仅涉及数据处理,还涉及检查程序之前和期间市政当局的运作方式。
案件
从担保人在一名员工提出投诉后进行的调查中,该员工被质疑“与市政府的计算机连接,在 facebook 上超过 40 分钟,在 youtube 上超过 3 小时,跟踪非机构活动和[...] 他查阅了与他的工作无关的网页”,市政府对员工的互联网浏览进行了监控和过滤活动。
如此收集的数据随后会存储一个月,并出于网络安全目的创建特定报告。
对事件的分析以及市政府在相当长的一段时间(大约十年)内进行这种监测的具体方式,得出了一些重要的方面。
1- 缺乏足够的信息
市政府进行的处理是在没有向雇员提供有关雇主可能对互联网访问进行控制的充分和具体信息的情况下进行的。
市政府为网络安全目的而采用的系统,在原始配置中,允许过滤和跟踪外部互联网站点的连接和链接,存储和保存此类数据三十天,以及提取报告,即使是在个人基础上。
该系统允许直接识别工人及其工作站,并系统地收集与可直接识别的员工的活动和使用网络服务有关的数据。
市政府没有向员工提供任何与个人数据处理相关的具体信息,在提供的信息中也没有提及处理与互联网浏览相关的个人数据。
在向管理局提供并在调查期间进行分析的其他文件中,提到了互联网连接追踪操作,但由于这些文件是为履行不同的义务而起草的,因此它们不包含第 13 条要求的所有基本信息。 条例第 XNUMX 条,因此不能替代业主在开始处理之前必须向有关各方提供的信息。
2 - 最小化原则
根据该法规,就所追求的合法目的而言,处理必须是“必要的”(该法规第 6 条第 1 款),并且仅以“充分、相关且仅限于必要的数据”为目标。处理的目的“(条例第 5 条第 1 款 c) 项)。
在这方面,担保人强调,控制的范围(间接或无意)虽然是按照行业规定进行的,但不能大规模进行,无论如何必须在尝试较少限制的措施后进行比工人的权利。
管理局强调工作和专业领域与严格私人领域之间的模糊界限,并重申需要保护和保证员工在工作场所的保密期望,即使假设员工与服务相关联提供给雇主的网络或也通过个人设备使用公司资源。
相反,在分析的案例中,就实体所调用的内部网络的保护和安全目的而言,执行检查的具体方法没有遵守必要性和相称性原则。
市政府使用的系统,事实上,“系统地收集员工导航数据不可避免地涉及处理与专业活动无关的信息,可以从访问的 URL 推断,因此与禁止雇主使用处理数据的工作“与评估工人的职业态度无关”,因此与艺术有关。 守则第 113 条,参考艺术。 8 号。 20 年 1970 月 300 日,n。 10 和艺术。 10 年 2003 月 276 日法令第 13 条,n. 2021”(XNUMX 年 XNUMX 月 XNUMX 日法令一字不差)。
需要降低员工不当使用互联网浏览的风险,包括与工作绩效无关的活动(例如,查看不相关的网站、上传或下载文件、“出于娱乐目的或与工作无关的目的使用网络服务”)不能, 事实上, 证明对私人生活的任何形式的干涉是合理的, 但可以通过准备适合于防止任何与非工作领域相关的信息被收集的技术和组织措施来满足, 从而引起对个人信息的处理, "不相关"属于艺术的适用范围。 守则第 113 条
3- 目的限制
该条例规定,在艺术。 5,“数据必须”为特定的、明确的合法目的收集,随后以与此类目的不相容的方式进行处理”。
在担保人分析的案例中,鉴于与员工浏览网页相关的数据最初以不相称且不符合个人保护规定的方式收集和处理,这一原则并未得到尊重。数据,并且没有根据艺术提供足够的信息。 该条例的第 13 条随后被用来对抗纪律指控。
对管理局而言,市政府提供的关于提交纪律处分程序的说明也被证明没有价值。
事实上,后者并没有导致实施制裁,因为收集的数据不可靠,还报告了一系列工人不一定访问过的网站(例如链接到横幅),无法区分实际访问过的站点以及间接/非自愿导航的站点。
与收集的数据质量差有关的情况与评估遵守法规的目的无关,因为收集的数据在任何情况下都经过处理,因为它们用于启动上述纪律处分程序。
最后,担保机构注意到市政府没有进行影响评估,并且新的工会协议不适合处理员工个人数据。
对于发现的违规行为,并考虑到市政府的合作和积极态度,所施加的行政处罚量化为 83.000 欧元。