U ovom članku analiziramo Odluku italijanskog Poverenika za zaštitu podataka (“Poverenik”) br. 472 od 17. jula 2024. godine (“Odluka”), koja se odnosi na nadzor nad službenih računara i e-pošte zaposlenih i s tim u vezi zaštitu podataka o ličnosti, shodno italijanskim propisima i Opšte uredba EU o zaštiti podataka o ličnosti, od 14. aprila 2016. godine, koja je stupila na snagu 25. maja 2018. godine (General Data Protection Regulation – “GDPR”).

Relevantne odredbe GDPR

Odredbe člana 5. GDPR regulišu principe u vezi sa obradom ličnih podataka. Lični podaci moraju biti:

• obrađeni zakonito, pošteno i na transparentan način u odnosu na lica čiji se podaci obrađuju (načelo zakonitosti, poštenja i transparentnosti);
• prikupljeni za specifične, jasne i zakonite svrhe i ne smeju se dalje obrađivati na način koji nije u skladu sa tim svrhama; dalja obrada u svrhu arhiviranja u javnom interesu, za naučna ili istorijska istraživanja ili statističke svrhe neće se smatrati neskladanom sa prvobitnim svrhama, u skladu sa članom 89(1) GDPR (načelo ograničenja svrhe);
• odgovarajući, relevantni i ograničeni na ono što je neophodno u odnosu na svrhe za koje se obrađuju (načelo minimizacije podataka);
• tačni i, kada je to neophodno, ažurirani; moraju se preduzeti svi razumni koraci kako bi se obezbedilo da se lični podaci koji su netačni, s obzirom na svrhe za koje se obrađuju, bez odlaganja obrišu ili isprave (načelo tačnosti);
• čuvani u obliku koji omogućava identifikaciju lica čiji se podaci obrađuju ne duže nego što je neophodno za svrhe za koje se lični podaci obrađuju; lični podaci se mogu čuvati duže, ako se obrađuju isključivo u svrhu arhiviranja u javnom interesu, za naučna ili istorijska istraživanja ili statističke svrhe, u skladu sa članom 89(1) GDPR, pod uslovom da se primene odgovarajuće tehničke i organizacione mere koje je GDPR propisao kako bi se zaštitila prava i slobode lica čiji se podaci obrađuju (načelo ograničenja čuvanja);
• obrađeni na način koji obezbeđuje odgovarajuću sigurnost ličnih podataka, uključujući zaštitu od neovlašćene ili nezakonite obrade i od slučajnog gubitka, uništavanja ili oštećenja, uz primenu odgovarajućih tehničkih ili organizacionih mera (načelo integriteta i poverljivosti).

Rukovalac je odgovoran za, i mora biti u mogućnosti da pokaže usklađenost sa, stavom 1. ovog člana (načelo odgovornosti).

Dakle, obrada koja nije zasnovana na navedenim principima GDPR-a, nije zakonita i predstavlja povredu ličnih podataka lica.

Činjenično stanje

Dana 6. juna 2024. godine, Poverenik je izdao revidirane ranije donete Smernice o upravljanju e-poštom na radnom mestu.

Ove smernice su suzile stroge zahteve za čuvanje i obradu podataka samo na metapodatke e-pošte, ostavljajući sadržaj e-pošte van svog okvira, čime su smanjene obaveza poslodavca.

Konkretna sporna situacija je nastala kada je bivši zaposleni tvrdio pred Poverenikom da je njegov bivši poslodavac pristupio njegovom poslovnom nalogu e-pošte i nakon što mu je prestao radni odnos kod poslodavca.

Kompanija je priznala da je koristila forenzičke alate za pristupanje rezervnim kopijama e-pošte u okviru interne istrage o navodnom nezakonitom prisvajanju poslovnih tajni. Mejlovi su kasnije korišćeni kao dokaz u pravnim postupcima. Kompanija je pravdala svoje postupke, pozivajući se na svoje legitimne poslovne interese i tvrdila da je bila u skladu sa obaveštenjem o privatnosti koje je bilo upućeno zaposlenom.

Odluka Poverenika

U konkretnom slučaju Poverenik je doneo Odluku kojom je utvrdio povredu nekoliko načela člana 5. GDPR:

• Načela ograničenja čuvanja i načelo minimizacije podataka jer je kompanija sistematski pravila rezervne kopije e-pošte tokom trajanja radnog odnosa i čuvala ih do tri godine nakon prestanka radnog odnosa. Poverenik smatra da je ovaj period čuvanja predugačak i nije bio podržan jasnim i specifičnim opravdanjima.
• Načela zakonitosti, poštenja i transparentnosti jer obaveštenje o privatnosti kompanije nije dalo ključne detalje, kao što su produženo čuvanje rezervnih kopija i mogućnost pristupa sadržaju e-pošte nakon prestanka radnog odnosa.
• Načela ograničenja svrhe jer ako je kompanija tvrdila da je softver korišćen u svrhu IT bezbednosti i poslovne kontinuiteta, Poverenik je smatrao da je njegova upotreba prevazilazila ove svrhe, uključujući korišćenje e-pošte u pravnim postupcima.

Najzad, Poverenik je utvrdio da je postupanje poslodavca bilo u suprotnosti sa važećim italijanskim zakonodavstvom o nadzoru zaposlenih, koje zahteva prethodni dogovor sa sindikatima ili odobrenje posebne institucije i da je u tom smislu sistematsko čuvanje e-pošte tokom produženog perioda smatrano oblikom indirektnog daljinskog nadzora aktivnosti zaposlenih.

Imajuću u vidu navedeno, Poverenik je Odlukom izrekao novčanu kaznu za kompaniju u iznosu od 80.000 EUR.

Zaključak

Odluka Poverenika potvrđuje da nadzor e-pošte mora balansirati poslovne interese i prava zaposlenih na privatnost te da će od stane poverenika za zaštitu podataka o ličnosti i sudova ovakvi postupci poslodavca biti podložni strožijoj kontroli odnosno preispitavanju.

U tom smislu, poslodavac je dužan da zaposlenog obavesti o obradi njegovih podataka u skladu sa odredbama GDPR kao i da se pri obradi ovih podataka pridržava odredaba GDPR.

Implikacije Odluke su od velikog značaja, budući da se e-pošta odnosno metapodaci, često koriste u svrhu interne istrage i utvrđivanja povrede ugovornih obaveza zaposlenih i njihove disciplinske odgovornosti.

Ovaj članak je isključivo informativne prirode i ne predstavlja pravni savet. Ukoliko su Vam potrebne dodatne informacije, budite slobodni da nas kontaktirate.