În esență, Autoritatea italiană de protecție a datelor a considerat că angajatorul care accesează datele de pe calculatorul de serviciu al unui fost angajat trebuie să respecte GDPR, inclusiv în situația în care accesează istoricul activității de pe browser-ul web (informația e în italiană) folosit în cadrul acelui calculator de serviciu, de către fostul angajat.
Pentru nerespectarea temeiurilor prevăzute de GDPR pentru prelucrarea de date, în cazul accesării istoricului de pe browser-ul folosit de un fost angajat de pe calculatorul de serviciu, un angajator italian a fost amendat cu 10.000 euro.
Chiar dacă e vorba de practica unei alte autorități de protecție a datelor decât cea română, abordarea e relevantă și pentru țara noastră - din cauză că GDPR-ul este aplicabil, în mod identic, atât în România, cât și în Italia. Concluzia ce trebuie trasă de angajatori, în acest context, este că inclusiv accesarea istoricului din browser-ul web folosit de un fost angajat, de pe calculatorul de serviciu, reprezintă o prelucrare de date ce trebuie să se facă în acord cu legislația aplicabilă.
Acest lucru extinde sfera de elemente ale vieții private (și a necesității de a respecta confidențialitatea datelor personale) și la istoricul browser-ului.
În acest context, angajatorii erau obișnuiți ca regulile să se aplice, în mod normal, comunicărilor făcute pe e-mail, însă nu și la elemente care ar putea avea un factor personal un pic mai redus, cum e istoricul căutărilor pe internet. Deși factorul personal nu era inexistent, după cum se vede din activitatea Autorității italiene.
În România, Legea nr. 190/2018 stabilește anumite norme de aplicare concretă a legislației privind protecția datelor în domeniul relațiilor de muncă. Potrivit acestora, monitorizarea electronică a activității angajatului, ca prelucrare de date, este permisă dacă:
- interesele legitime urmărite de angajator sunt temeinic justificate și prevalează asupra intereselor sau drepturilor și libertăților persoanelor vizate;
- angajatorul a realizat informarea prealabilă obligatorie, completă și în mod explicit a angajaților;
- angajatorul a consultat sindicatul sau, după caz, reprezentanții angajaților înainte de introducerea sistemelor de monitorizare;
- alte forme și modalități mai puțin intruzive pentru atingerea scopului urmărit de angajator nu și-au dovedit anterior eficiența; și
- durata de stocare a datelor cu caracter personal este proporțională cu scopul prelucrării, dar nu mai mare de 30 de zile, cu excepția situațiilor expres reglementate de lege sau a cazurilor temeinic justificate.
O problemă s-ar putea pune ce se întâmplă în situația în care, la fel ca mai sus, e vorba de un fost angajat căruia trebuie să i se verifice istoricul căutărilor pe internet și angajatorul nu a apucat să îl informeze că are nevoie să îi verifice activitatea de pe browser-ul web înainte de a pleca.
Probabil că, în asemenea situații, ar trebui căutate soluții alternative de informare, esența fiind să i se aducă la cunoștință fostului angajat monitorizarea, înainte de a fi făcută.
O interpretare contrară ar putea să îi afecteze activitatea angajatorului într-un mod excesiv (dacă i-ar fi interzisă accesarea), în timp ce o ignorare a obligației de informare nu ar fi justificată, ținând cont de importanța acestui drept în cadrul GDPR și de context (chiar dacă salariatul nu mai lucrează acolo, posibilitatea de a-i fi afectată viața privată și confidențialitatea datelor subzistă, interesele sale rămânând aceleași, în mare).