« Secţiuni « Articole « RNSJOpiniiPovestim cărţi
Opinii

Monitorizarea salariatilor ref. e-mail si navigare
17.11.2008 | JURIDICE.ro, Cristina Ghita

JURIDICE - In Law We Trust ZRVP

In contextul utilizarii tot mai frecvente a Internetului, si punerii sale la dispozitia angajatilor, indiferent de faptul ca acestia lucreaza in domeniul public sau privat, pe cheltuiala angajatorului, verificarea scopului in care este utilizata aceasta resursa in timpul programului de lucru suscita diverse discutii
Exista o serie de documente internationale care reglementeaza acest domeniu. Cel mai cunoscut este art. 8 din Conventia Europeana a Drepturilor Omului. Un alt document international in acest sens este Conventia pentru Protectia Persoanelor Privind Procesarea Automata a Datelor Personale, din 28 ianuarie 1981, acesta fiind primul instrument international cu valoare obligatorie pentru statele semnatare. Conform acestei conventii, statelor li se cere sa ia toate masurile necesare in legislatiile nationale pentru ca acestea sa asigure respectarea drepturilor fundamentale pe teritoriul lor. De asemenea, Recomandarea Consiliului Europei privind protectia datelor in relatia cu angajatorul reia acelasi principiu.
Carta drepturilor fundamentale, adoptata la nivelul Uniunii Europene, reprezinta una din cele mai recente declaratii de angajament al statelor in directia reglenmetarii domeniului, in acest sens fiind de retinut delimitarea intre art. 7 – respectarea vietii familiale si private, la respectarea comunicatiilor, si art. 8  – dreptul fiecarei persoane la protejarea datelor personale care se refera la ea, date care trebuie procesate in mod corect, pentru scopuri specifice si pe baza consimtamantului persoanei vizate sau pe baza unui alt temei prevazut de lege; dreptul fiecarei persoane de a accesa datele care au fost adunate si care se refera la ea, dreptul de a ii fi rectificate .Respectarea acestor reguli, conforn aceluiasi articol, trebuie sa revina unei autoritati independente. Evolutia este evidenta inclusiv la nivel de limbaj, vorbindu-se de "secretul comunicatiilor".
In dreptul comunitar, alaturi de Carta Drepturilor Fundamentale, a fost adoptata directiva 95/46/CE. 
Ca jurisprudenta, problema monitorizarii angajatilor a fost dezbatuta de Curtea Europeana a Drepturilor Omului in decizia Copland vs. Marea Britanie, 3 aprilie 2007.
In speta respectiva, reclamanta Lynette Copland, lucrand ca asistenta a directorului unui Colegiu din Tara Galilor, a sustinut incalcarea art. 8 CEDO, intrucat  telefoanele, e-mailurile sale si traficul de Internet ar fi fost urmarite vreme de 18 luni, pana in noiembrie 1999. Respectivul colegiu era finantat prin fonduri publice, avand caracterul unei institutii de stat.
Conform Guvernului, monitorizarea a avut loc pentru a se asigura daca angajatul folosea in mod excesiv facilitatile Colegiului in scopuri personale. Guvernul a sustinut ca monitorizarea telefoanelor a constat in analizarea facturilor telefonice ale colegiului, facturi detaliate, cu aratarea numerelor de telefon, a zilei, orei si duratei apelurilor. Reclamanta a sustinut ca institutia a obtinut si un jurnal complet al convorbirilor sale, cu numerele de telefon de la care a primit apeluri si catre care a telefonat, afirmand ca era cunoscut si numele cel putin uneia dintre persoanele cu care avusese mai multe convorbiri. Guvernul a sustinut ca monitorizarea telefonului a durat cateva luni, pana la 22 noiembrie 1999, in timp ce reclamanta a sustinut ca de fapt au fost urmarite timp de 18 luni, pana in noiembrie 1999.
In cadrul institutiei nu exista nici un fel de regulament interior care sa prevada posibilitatea ca angajatii sa fie urmariti in modul de utilizare a resurselor de comunicatii. In cazul convorbirilor telefonice si al emailurilor, analiza s-a realizat exclusiv din punct de vedere cantitativ, referitor la trafic, nu la continutul traficului respectiv.
In cazul site-urilor web vizitate, analiza s-a referit insa atat la data, ora, durata accesarii, cat si la continutul propriu zis.
Curtea a retinut ca se incadreaza in notiunile de viata privata si de corespondenta, ocrotite de disp. art. 8 alin. 1 CEDO atat convorbirile telefonice efectuate de la locul de munca (a se vedea Halfors, Amann vs. Elvetia, nr. 27798/95), cat si, in mod similar, e-mail-urile expediate de la serviciu si informatiile care pot fi obtinute din monitorizarea utilizarii personale a internetului.
Elementul esential, din punctul de vedere al instantei europene, a fost faptul ca reclamanta, in prezentul caz, nu a fost avertizata asupra faptului ca propriile ei convorbiri pot fi subiect al monitorizarii, astfel ca ea a avut o presupunere rezonabila asupra faptului ca i se respecta intimitatea vietii private si in privinta convorbirilor efectuate prin intermediul telefonului ei de la serviciu (vezi si Halford), emailurilor trimise si primite de acolo ori in privinta utilizarii internetului.
Curtea a apreciat ca reprezinta o ingerinta in drepturile privitoare la respectarea vietii private si la secretul corespondentei in sensul dispozitiilor articolului 8 colectarea si stocarea informatiilor personale referitoare la convorbirile telefonice ale reclamantei, la fel ca si cele referitoare la e-mail-urile ei si la utilizarea de catre aceasta a internetului, fara incunostintarea ei, fiind nerelevant daca datele detinute de catre colegiu nu au fost dezvaluite sau utilizate  in defavoarea reclamantei in vreo actiune disciplinara sau vreo alta procedura.
Astfel, din punctul de vedere al curtii, informatiile privind momentul si durata convorbirilor, precum si, mai ales, numerele formate, reprezinta ingerinte in viata privata.
A stabilit Curtea ca la momentul monitorizarii nu era in vigoare nici o dispozitie legala prin care sa fie reglementata aceasta activitate, astfel incat ingerinta in acest caz nu era "in concordanta cu legea" asa cum este reglementata cerinta de catre Articolul 8 paragraful 2 din Conventie.
A fost respinsa motivarea Guvernului referitoare la presupusa autorizare a Colegiului, derivand din atributiile sale statuare,  de a face "orice ar fi necesar" in vederea realizarii scopurilor de a asigura educatia.
Curtea nu s-a pronuntat referitor la caracterul necesar intr-o societate democratica, in vederea indeplinirii unui scop legitim al monitorizarii utilizarii de catre un angajator a telefonului, e-mail-ului sau a internetului la locul de munca, aceasta imprejurare urmand in consecinta a fi analizata de la caz la caz.
Avand in vedere ca respectiva ingerinta nu respecta unul din cele 3 criterii, respectiv nu era prevazuta de lege, Curtea a statuat ca a fost incalcat art. 8 din Conventie.
Si alte decizii ale Curtii Europene a Drepturilor Omului se refera la aceeasi problema, chiar daca nu neaparat la fel de transant. Astfel in cauza Niemetz vs. Germania, fata de perchezitia efectuata la biroul reclamantului, Curtea a inlaturat apararea Guvernului german in sensul ca art. 8 nu include protectia impotriva perchezitionarii biroului unei persoane, deoarece conventia ar delimita viata privata si intima, pe de o parte, si viata profesionala si relatiile de afaceri pe de alta parte. Curtea a statuat ca respectarea vietii private presupune dreptul de a stabili si dezvolta relatii cu alte fiinte umane. Rezulta, in consecinta ca notiunea de viata privata nu exclude relatiile profesionale sau pe cele de afaceri, cu atat mai mult cu cat in asemenea circumstante majoritatea oamenilor au una din cele mai importante, daca nu cea mai importanta, posibilitate de a dezvolta relatii cu ceilalti. De asemenea, e dificil de distins care activitati fac parte din domeniul vietii profesionale si de afaceri si care nu.
In cauza Halford vs. Marea Britanie, Curtea a decis ca interceptarea convorbirilor unui angajat la locul de munca reprezenta o incalcare a art.8 din Conventie. Demn de notat era ca reclamantei i se oferisera 2 telefoane, din care unul pentru uz privat. Nu i se impusese nici o restrictie referitor la folosirea telefoanelor, nu i se facuse vreo informare.
S-a stabilit clar ca atat telefoanele date in timpul serviciului, cat si cel de acasa intra in domeniul de aplicare al art. 8, in sfera notiunii de viata privata,
La nivel comunitar a fost adoptata Directiva 95/46/EC, implementata in legislatia romaneasca prin Legea nr. 676/2001 privind protectia datelor personale. In conformitate cu aceeasi directiva, a fost creat un Grup de lucru pentru protectia datelor, organism independent, cu atribuitii consultative. Pe 29 mai 2002, acesta a adoptat Documentul de lucru referitor la supravegherea comunicatiilor electronice la locul de munca, care detaliaza modul cum ar trebui implementate principiile dreptului comunitar, in stransa legatura cu respectarea dreptului la viata privata si la secretul corespondentei, in cazul monitorizarii angajatilor. Acest document subliniaza foarte bine conflictul dintre protectia vietii private si supravegherea la locul de munca: "In considerarea problemei supravegherii, trebuie avut in vedere faptul ca, in timp ce angajatii au un anume grad de intimitate la locul de munca, acest drept trebuie pus in balanta cu dreptul angajatorului de a controla functionarea afacerii sale si de a se apara impotriva actiunii angajatilor ce poate aduce atingere drepturilor legitime ale angajatorului, ca de exemplu raspunderea angajatorului pentru actiunea angajatilor sai. 
Mai mult, trebuie sa accentuam faptul ca devine din ce in ce mai dificil astazi sa separi clar orele de munca de viata privata, cand conditiile de munca au evoluat intr-o asemenea masura. In particular, pe masura ce "biroul de acasa" se dezvolta, multi angajati isi continua munca acasa folosind calculatoarele oferite de angajator in acest scop sau nu." 
Astfel, caracterele esentiale pe care trebuie sa le indeplineasca o asemenea monitorizare presupun transparenta – obligatoriu cu informarea prealabila cu privire la posibilitatea de a fi exercitata o asemenea monitorizare -, caracterul necesar, caracterul echitabil ("fair") si proportional cu scopurile urmarite de companie.
In cadrul documentului mai sus mentionat au fost prezentate cateva principii care trebuie sa guverneze monitorizarea utilizarii Internet-ului si a postei electronice: 
1. Principiul necesitatii. Necesitatea presupune ca angajatorul sa verifice daca monitorizarea este absolut necesara pentru un anumit scop precis, inainte de a o implementa, apreciindu-se ca trebuie avute in vedere initial metodele clasice de supervizare a angajatilor si, unde acestea ofera rezultate, sa fie utilizate cu prioritate.
Numai in circumstante exceptionale ar trebui apreciat ca sunt necesare monitorizarea folosirii emailului si Internetului de catre un angajat. De exemplu, monitorizarea unui email al angajatului poate fi necesara pentru obtinerea de dovezi privind anumite actiuni din partea acestuia,  precum savarsirea de infractiuni. Si in acest caz ar exista o conditie, respectiv posibilitatea ca angajatorul sa raspunda in orice mod fata de actiunile angajatului sau, de ex., in solidar comitent-prepus, in cazul raspunderii civile delictuale. Supravegherea poate viza detectarea virusilor si in general orice activitate care trebuie facuta sau nu de angajat pentru a nu periclita sistemul.
Poate fi necesara uneori citirea corespondentei unui angajat, de ex, in situatia in care acesta e in concediu de odihna sau de boala si activitatea biroului trebuie continuata, neexistand posibilitatea utilizarii unor mesaje automate.
Angajatorul poate sa pastreze datele astfel obtinute numai atata timp cat sunt necesare pentru indeplinirea scopului stabilit la inceperea monitorizarii.
2. Principiul "finalitatii" sau scopului presupune ca datele sa fie colectate intr-un anumit scop explicit si legitim si sa nu fie ulterior procesate intr-o modalitate incompatibila cu scopul urmarit initial. In acest context, compatibilitate presupune, de ex., ca daca datele au fost adunate cu justificarea mentinerii  securitatii sistemului, aceste date nu pot fi utilizate in alt scop, deci nu pot fi utilizate pentru monitorizarea comportamentului angajatului.
3. Principiul transparentei. Angajatorul trebuie sa fie clar si deschis in ceea ce priveste activitatile sale. Aceasta include obligatia de a furniza angajatilor toate informatiile cu privire la monitorizarea acestora in ceea ce priveste utilizarea Internet-ului Presupune ca utilizarea Internetului sa nu fie monitorizata decat in cazul cand o lege a unui stat membru, cu respectarea art. 13 din Directiva, o permite. Aceasta se intampla, de regula, cand exista indicii privind savarsirea de infractiuni (fiind necesare dovezi suplimentare, cu respectarea cerintelor de fond si de forma ale statelor membre), atunci cand legea nationala ii permite angajatorului sa actioneze pentru depistarea infractiunilor la locul de munca.
Principiul transparentei poate fi divizat in 3 parti: 
A. Obligatia de informare privind regimul datelor  
Acesta este, poate, cel mai elocvent aspect: Lucratorii trebuie informati in mod complet referitor la circumstantele care ar justifica o asemenea masura, ca si cu privire la amploarea si scopul acestei monitorizari. Elementele informarii ar trebui sa fie: 
1. Politica unitatii privind Internetul si emailul, descriind in detaliu cat de mult resursele puse la dispozitie de companie pot fi utilizate pentru comunicari personale, private, de catre angajati (de ex., limitarea timpului de folosire);
2. Motivele si scopurile pentru care se face supravegherea, daca se face. Daca angajatul are dreptul de a utiliza resursele companiei, chiar si in mod limitat, in scop personal, comunicarile personale pot fi supravegheate numai in conditii foarte stricte, de ex pentru a proteja integritatea sistemului (verificare antivirus);
3. Detaliile supravegherii, de tip: Cine? Cand? Cum? Ce?
4. Detalii privind orice masura care ar urma sa fie luata, subliniindu-se cum si cand angajatii ar urma sa fie instiintati de incalcarea politicilor interne si ar beneficia de posibilitatea de a raspunde acuzatiei formulate.
Se mentioneaza ca din punct de vedere practic este mai bine ca angajatorul sa informeze angajatul imediat privind orice utilizare inadecvata a comunicarii electronice, cu exceptia cazului cand motive importante ar justifica mentinerea supravegherii, ceea ce nu reprezinta exceptia. Asemenea informari-avertizare ar putea fi facute in mod electronic, prin intermediul unor ferestre de avertizare, tip pop up, care alerteaza utilizatorul in sensul ca sistemul a detectat o folosire neautorizata a retelei.
Un alt exemplu de transparenta este considerata consultarea reprezentantilor angajatilor, a sindicatelor, anterior introducerii politicilor vizavi de comunicatiile electronice, cu atat mai mult cu cat directiva 2002/14/CE proclama necesitatea informarii si consultarii angajatilor in legatura cu orice decizie apta sa conduca la modificari substantiale in organizarea muncii sau in relatiile contractuale. Documentele colective – de ex.: contractele colective de munca – pot contine prevederi si mai favorabile angajatilor, precum necesitatea acordului prealabil al sindicatului pentru monitorizarea lor.
B. Obligarea de a instiinta autoritatea de supraveghere inainte de a incepe derularea oricarei operatii/set de operatii de procesare automata a datelor, in tot sau in parte
Acest aspect presupune dreptul angajatilor de a verifica oricand in registrele de protectie a datelor, de ex., ce categorii de date,n ce scopuri si cu ce destinatie au fost prelucrate date care il privesc.
C. Dreptul de acces
Angajatul, ca si orice alta persoana, are drept de accesare a datelor personale care se refera la el si care au fost procesate de angajator, are dreptul de a  cere rectificarea, stergerea sau blocarea, in special din cauza naturii incomplete sau lipsite de acuratete a datelor. 
4. Principiul legitimitatii. Acest principiu presupune ca orice operatie de prelucrarea a datelor poate avea loc numai daca are un scop legitim conform art. 7 din Directiva 95/46/CE si legislatiei interne de transpunere, adica daca scopul e determinat de un  interes legitim urmarit de angajator si care nu impieteaza asupra drepturilor fundamentale ale angajatilor. Necesitatea angajatorului de a isi proteja afacerea de amenintari semnificative, cum ar fi prevenirea transmiterii de informatii confidentiale unui competitor, reprezinta un interes legitim.
5. Principiul proportionalitatii. Acest principiu presupune ca actele personale, inclusiv cele implicate de monitorizare, sa fie adecvate, relevante si sa nu fie excesive raportat la scopul urmarit. Politica companiei, in acest domeniu, ar trebui sa se raporteze la tipul si gradul de risc cu care acea companie se confrunta.
Principiul proportionalitatii exclude monitorizarea automata a folosirii Internetului sau emailurilor individuale altfel decat in scopul mentinerii securitatii sistemului. Cand obiectivul poate fi atins intr-un mod mai putin intruziv, angajatorul trebuie sa ia in considerare modalitatea alternativa (de ex. Trebuie evitate sistemele de monitorizare automata si in mod continuu).
Monitorizarea emailurilor ar trebui sa se limiteze la aspecte cantitative – durata, trafic – mai degraba decat la aspectele de continut, daca e suficient pentru inlaturarea riscurilor si temerilor angajatorului. Daca accesarea emailurilor e absolut necesara, trebuie tinut cont si de drepturilor tertilor implicati, fiind preferabila obtinerea acordului prealabil al acestora, avand in vedere ca acea corespondenta le-a fost adresata sau a fost trimisa de ei. Angajatorul are obligatia de a depune eforturi rezonabile pentru a informa tertii despre existenta activitatii de supraveghere si despre modul cum aceasta i-ar putea afecta. Un exemplu practic: inserarea notelor de avertizare privind existenta sistemelor de monitorizare, in toate mesajele trimise de organizatie.
Tehnologia ofera angajatorului mai multe posibilitati de a verifica modul de folosire a emailurilor de catre salariati, prin verificarea, de ex., a numarului de emailuri trimise sau primite, a atasamentelor acestora, astfel incat deschiderea efectiva si citirea emailurilor apare ca disproportionata. Tehnologia poate fi, de asemenea, utilizata pentru a limita accesarea resurselor companiei in interes personal, prin blocarea, spre ex., a unor adrese web.
Sistemele de prelucrare a comunicatiilor electronice ar trebui construite astfel incat sa limiteze cantitatea de date personale prelucrate si stocate, spre minim.
6. Principiul acuratetei si pastrarii datelor. Acest principiu presupune ca orice data pastrate de un angajator, cu respectarea principiilor anterior mentionate, constand in informatii privind utilizarea Internetului sau a conturilor de email trebuie sa fie exacta, actualizata  si pastrata numai cat este necesar pentru atingerea scopului. Angajatorii trebuie sa specifice o perioada de pastrare a emailurilor pe serverul companiei, in principiu pana la 3 luni.
7. Principiul securitatii. Acest principiu il obliga pe angajator sa implementeze masuri tehnice si organizationale in masura sa asigure ca orice fel de date personale sa fie protejate din exterior; angajatorul este obligat sa ia toate masurile de securitate pentru ca datele colectate sa nu fie disponibile tertilor. Presupune si dreptul angajatorului de protectie a sistemului sau contra virusilor si poate presupune scanarea automata a emailurilor si traficului de internet.
Fata de importanta mentinerii securitatii retelei, deschiderea automata a emailurilor si scanarea antivirus nu pot fi considerate incalcari ale dreptului angajatului la viata privata, un rol semnificativ revenind administratorului de retea. Acesta, ca si orice alta persoana, indiferent de pozitia din companie, ar trebui tinut de clauza confidentialitatii fata de continutul mesajelor vizualizate.
Documentul Grupului de lucru nu are valoare obligatorie, ci de orientare. Apreciem ca este deosebit de util, atat din perspectiva companiilor private, cat si in cazul institutiilor publice.
* Cristina Ghita este judecator la Judecatoria Ploiesti
 
Secţiuni: Data protection, Opinii | Toate secţiunile
Cuvinte cheie:
Vă invităm să publicaţi şi dvs., chiar şi opinii cu care nu suntem de acord. JURIDICE.ro este o platformă de exprimare. Publicarea nu semnifică asumarea de către noi a mesajului. Totuşi, vă rugăm să vă familiarizaţi cu obiectivele şi valorile Societătii de Stiinţe Juridice, despre care puteti ciţi aici. Pentru a publica vă rugăm să citiţi Condiţiile de publicare, Politica privind protecţia datelor cu caracter personal şi să ne scrieţi la adresa de e-mail redactie@juridice.ro!

Lex Discipulo Laus
Gratuit pentru studenţi
Securitatea electronică este importantă pentru avocaţi
Mesaj de conştientizare susţinut de FORTINET
JURIDICE utilizează SmartBill
Concurs eseuri ZRVP

Lasă un răspuns

Acest site folosește Akismet pentru a reduce spamul. Află cum sunt procesate datele comentariilor tale.

Important: Descurajăm publicarea de comentarii defăimatoare. Vor fi validate doar comentariile care respectă Politica JURIDICE.ro şi Condiţiile de publicare.


.
PLATINUM Signature      

PLATINUM  ACADEMIC

GOLD                        

VIDEO   STANDARD