Discuţiile de la birou îţi sunt monitorizate de angajator? Iată ce trebuie să ştii!

Articol scris de avocata Ioana-Maria Doaga.

Nici la nivel naţional, nici la nivelul Uniunii Europene (UE) nu există încă o reglementare expresă privind monitorizarea de către angajator a accesului la internet al angajaţilor. Totuşi, legislaţia în vigoare stabileşte unele reguli generale cu privire la prelucrarea datelor personale.

1. La nivel naţional

1.1 Decizia Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal

La nivel naţional, a fost adoptată la data de 14 decembrie 2015 Decizia cu numărul 200 a Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP), privind stabilirea cazurilor de prelucrare a datelor cu caracter personal pentru care nu este necesară notificarea, precum şi pentru modificarea şi abrogarea unor decizii, care încadrează în mod expres activitatea de monitorizare a angajaţilor "pe internet" în categoria operațiunilor de prelucrare a datelor cu caracter personal, supunând astfel monitorizarea de către angajator a accesului la internet al angajaților reglementărilor aplicabile în materie.

1.2 Legea prelucrării datelor cu caracter personal

Legea nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date defineşte în art. 3 datele cu caracter personal, prelucrarea datelor cu caracter personal şi operatorii care prelucrează aceste date.

Prelucrarea datelor cu caracter personal prin mijloace electronice, având ca scop monitorizarea şi/sau evaluarea unor aspecte de personalitate, precum competenţa profesională, credibilitatea, comportamentul sau alte asemenea aspecte analizate din punct de vedere profesional, constituie prelucrare a datelor cu caracter personal în temeiul art. 3 lit. b din Legea nr. 677/2001 şi în baza Deciziei ANSPDCP, așadar trebuie să fie facută cu bună-credință, în scopuri determinate şi neexcesive prin raportare la scopul în care sunt colectate, explicite şi legitime, adecvate și pertinente, în temeiul art. 4 din Legea nr. 677/2001.

În acest sens, conform art. 1 lit. e) din cuprinsul Deciziei ANSPDCP, operatorul, în cazul nostru angajatorul, este obligat să notifice Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal, personal sau prin reprezentant, înainte de efectuarea oricărei prelucrări ori a oricărui ansamblu de prelucrări având acelaşi scop sau scopuri corelate.

Omisiunea de a notifica sau notificarea cu rea-credinţă, precum şi notificarea incompletă sau care conţine informaţii false, conform art. 31 din Legea nr. 677/2001, constituie contravenţii şi, dacă nu sunt săvârşite în astfel de condiţii încât să constituie infracţiuni, se sancţionează cu amendă de la 500 la 10.000 de lei.

Prelucrarea nelegală a datelor cu caracter personal de către un operator sau de o persoană împuternicită constituie contravenţie, dacă nu este săvârşită în astfel de condiţii încât să constituie infracţiune, şi se sancţionează cu amendă de la 1.000 la 25.000 de lei, iar neîndeplinirea obligaţiilor privind confidenţialitatea şi aplicarea măsurilor de securitate şi de păstrare a confidenţialităţii prelucrărilor constituie contravenţie, dacă nu este săvârşită în astfel de condiţii încât să constituie infracţiune, şi se sancţionează cu amendă de la 1.500 la 50.000 de lei.

Angajatorii trebuie să aibă în vedere că prelucrarea datelor poate fi efectuată numai dacă persoana vizată şi-a dat consimţământul în mod expres şi neechivoc pentru acea prelucrare, conform art. 5 alin. 1 din Legea prelucrării datelor cu caracter personal.

Pentru angajați este important să știe că, în temeiul art. 15 al Legii nr. 677/2001, au dreptul de a se opune în orice moment, din motive întemeiate şi legitime legate de situaţia lor particulară, ca anumite date care îi vizează să facă obiectul unei prelucrări, cu excepţia cazurilor în care există dispoziţii legale contrare, precum şi dreptul de a se adresa justiţiei pentru apărarea oricăror drepturi garantate de lege ce le-au fost încălcate şi pentru repararea prejudiciilor astfel cauzate, conform articolului 18 al aceleiaşi legi.

2. La nivelul Uniunii Europene

2.1  Reglementările în vigoare și Grupul de Lucru pentru Protecţia Datelor Personale

La nivelul Uniunii Europene, acest domeniu este reglementat în prezent prin Directiva 95/46/CE a Parlamentului European şi a Consiliului Uniunii Europene din 24 octombrie 2005 pentru protecţia persoanelor fizice cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date, completată de Decizia-cadru 2008/977/JAI, și a fost îndelung analizat şi de Grupul de Lucru pentru Protecţia Datelor Personale, un organ consultativ ale cărui concluzii au fost cuprinse într-o serie de avize si declarații.

La data de 2 Februarie 2016, Grupul de Lucru UE a adoptat un plan de acțiune pentru anul 2016 în vederea stabilirii unor priorități pentru reformarea cadrului legal privind protecția datelor cu caracter personal la nivelul UE și, mai exact, pentru a facilita tranziția către adoptarea Pachetului privind protecția datelor. Acesta din urmă cuprinde două propuneri legislative: un regulament general privind protecția datelor și o directivă privind protecția datelor cu caracter personal prelucrate în scopul activității de aplicare a legii. Documentele ar putea să devină aplicabile începând cu primăvara anului 2018.

2.2 Jurisprudenţa recentă CEDO

În cauza Bărbulescu împotriva României, cu privire la situația angajatorului care a monitorizat şi transcris comunicările personale realizate de un angajat al său, de pe calculatorul societăţii, prin intermediul contului de Yahoo Messenger creat în scopul exclusiv al desfăşurării activităţii sale profesionale, a fost supusă judecăţii încălcarea de către angajator a articolului 8 referitor la dreptul la respectarea vieţii private şi de familie din Convenţia Consiliului Europei pentru apărarea Drepturilor Omului şi a Libertăţilor fundamentale.

Acest articol al Convenţiei prevede că ʺorice persoană are dreptul la respectarea vieţii sale private şi de familie, a domiciliului său şi a corespondenţei sale. Nu este admis amestecul unei autorităţi publice în exercitarea acestui drept decât în măsura în care acesta este prevăzut de lege şi constituie, într-o societate democratică, o măsură necesară pentru securitatea naţională, siguranţa publică, bunăstarea economică a ţării, apărarea ordinii şi prevenirea faptelor penale, protecţia sănătăţii, a moralei, a drepturilor şi a libertăţilor altora.ʺ

Reclamantul a susţinut că a existat o ingerinţă nejustificată în dreptul său la viaţă privată şi corespondenţă, iar CEDO a decis că, deşi informaţiile obţinute de angajator prin monitorizarea utilizării internetului de către angajaţi se subsumează noţiunii de viaţă privată şi corespondenţă, în acest caz nu au fost încălcate prevederile articolului 8 al Convenţiei.

Monitorizarea angajatului a fost considerată legitimă de către CEDO, deoarece aceasta s-a desfășurat în cadrul procedurilor disciplinare ale societăţii, iar concedierea reclamantului s-a întemeiat pe încălcarea interdicţiei (din regulamentul intern) de a utiliza calculatoarele, fotocopiatoarele, telefoanele şi faxurile în scopuri private.

Angajatorul a argumentat în favoarea sa că accesarea poștei electronice a fost făcută ca urmare a răspunsului reclamantului, care iniţial a susţinut că a utilizat respectivul cont Yahoo doar în scop profesional, pentru comunicarea cu clienţii firmei, compania acționând astfel în limitele prerogativelor sale de control disciplinar. Judecătorii CEDO au reţinut că instanţele naţionale au acordat importanţă acestui aspect.

Totodată, CEDO a subliniat că, deşi comunicările angajatului au fost monitorizate, această măsură nu a privit alte date sau documente existente în calculatorul reclamantului, astfel că această monitorizare a fost una proporţională cu scopul urmărit. Reclamantul însă nu a explicat în mod convingător motivul pentru care a utilizat în scopuri personale acel cont creat în scopuri profesionale.

În analiza posibilității încălcării articolului 8 al Convenției în cauza de față, CEDO a luat act de faptul că instanţele naționale au avut în vedere că transcriptul comunicărilor a fost expus numai în măsura necesară pentru a face dovada existenţei unei abateri disciplinare a reclamantului, neexistând menţiuni în hotărârile instanţelor interne nici cu privire la circumstanţele particulare în care s-au realizat comunicările, nici referitor la numele persoanelor cărora reclamantul le-a transmis mesajele. Cu toate că angajatorul nu a invocat cauzarea unui prejudiciu de către reclamant, CEDO a concluzionat că este rezonabil pentru un angajator să verifice dacă angajaţii săi îşi îndeplinesc corespunzător îndatoririle profesionale în timpul programului de muncă.

În concluzie, CEDO a reţinut că instanţele naţionale au păstrat în hotărârile pronunţate un just echilibru între dreptul reclamantului la viaţă privată şi interesele angajatorului, astfel că nu există o încălcare a art. 8 din Convenţie.

3. Care sunt condiţiile în care monitorizarea poate fi facută, în prezent, în mod legal?

În cadrul legislativ românesc și al Uniunii Europene, monitorizarea angajaților este posibilă în prezent doar cu respectarea anumitor aspecte, pe care le prezentăm în continuare.

3.1 Transparența monitorizării și a cadrului său de reglementare

În baza dispozițiilor art. 40, alin 2, lit. a din Codul Muncii, angajatorului îi revine obligația de a informa salariaţii asupra elementelor care privesc desfăşurarea relaţiilor de muncă. Astfel, interdicția utilizării de către angajați, în scopuri personale, a internetului la locul de muncă sau a resurselor oferite de angajator (precum calculatorul, fotocopiatorul, telefonul, faxul etc.) sau limitele și/sau condițiile acestei utilizări, precum și sancțiunile prevăzute în cazul încălcării acestor interdicţii sau limite, trebuie să fie în mod expres prevăzute în următoarele reglementări ale monitorizării:

• regulamentul intern;
• sau/și în contractul colectiv de muncă aplicabil;
• şi/sau în contractul individual de muncă, act adițional la acesta sau/și fișa postului.

Metodele de implementare a reglementărilor monitorizării, natura și scopul acestei monitorizări, precum și drepturile angajaților cu privire la monitorizare şi materialele monitorizate (mai exact, potrivit Legii nr. 677/2001, dreptul de opoziţie, dreptul de intervenţie asupra datelor, dreptul de acces și dreptul de a se adresa justiţiei, precum și condiţiile în care aceste drepturi pot fi exercitate) trebuie aduse la cunoștința tuturor angajaţilor sub semnătură. Consimțământul acestora este, așadar, absolut necesar.

3.2 Legitimitatea și proporționalitatea măsurilor de monitorizare

Angajatorul are, conform dispozițiilor art. 40 alin. 1 lit. d  din Codul Muncii, dreptul de a verifica maniera în care angajaţii îşi îndeplinesc atribuţiile profesionale și, în baza dispozițiilor aceluiași articol, dar la alin. 1 lit. e, prerogative de control disciplinar. Astfel, cu respectarea condițiilor prevăzute la punctul anterior, angajatorul poate monitoriza accesul angajaților la internet și/sau utilizarea resurselor societăţii în interes privat, în timpul programului de lucru, cu următoarele limitări:

• monitorizarea trebuie să aibă ca scop verificarea îndeplinirii corespunzătoare a atribuțiilor de serviciu şi/sau eficientizarea activității şi/sau împiedicarea angajaților de la sustragerea de informații sau orice alt astfel de scop legitim;
• monitorizarea trebuie să fie proporțională cu scopul urmărit și să vizeze doar resursele societăţii;
• monitorizarea nu trebuie să afecteaze dreptul la viață intimă, familială şi privată și secretul corespondenței angajaților, astfel cum sunt ele prevăzute în art. 26 alin. 2 ("persoana fizică are dreptul să dispună de ea însăşi, dacă nu încalcă drepturile şi libertăţile altora, ordinea publică sau bunele moravuri") și în art. 28 din Constituția României ("secretul scrisorilor, al telegramelor, al altor trimiteri poştale, al convorbirilor telefonice şi al celorlalte mijloace legale de comunicare este inviolabil").

Hotărârea CEDO, precum și noile reglementări UE din Pachetul privind protecția datelor, care ulterior aprobării vor atrage necesitatea adaptării legislației naționale, ar trebui să orienteze angajatorii -- care în prezent își monitorizează în mod mai mult sau mai putin abuziv angajații -- spre ajustarea politicilor interne ale societăților în vederea respectării legislației și să ofere un cadru reglementat de protecție sporită al angajaților împotriva abuzurilor angajatorilor.

De asemenea, în urma clarificărilor făcute prin Hotărârea CEDO, instanţele naţionale vor putea aprecia mult mai eficient eventualele ingerinţe ale angajatorilor în drepturile nepatrimoniale ale angajaţilor, drepturi protejate atât de normele legale de drept intern, cât şi de cele de drept comunitar.