Angajatorii nu pot interzice angajaților să folosească echipamentele companiei în scop personal. 5 lucruri pe care le pot face în schimb
Lucram recent la un audit GDPR si am văzut in politica de securitate a companiei interdicția angajatului de a utiliza resursele informatice ale companiei in interes personal.
Poate părea o soluție bună atât pentru menținerea productivității în firmă, cât și pentru a evita acumularea de date personale pe echipamentele companiei. Asta pentru că știm că toate datele personale ale angajaților deținute de companie atrag o suită de drepturi GDPR care trebuie respectate de angajatori inclusiv după plecarea angajatului din firmă.
O astfel de interdicție ar fi posibilă conform unei decizii din 2019 a Autorității de supraveghere din Grecia. Cu toate acestea, autoritatea europeana de cel mai înalt nivel in protecția datelor, Grupul de lucru Art. 29 (actualul EDPB), a statuat expres in Avizul său din 2017 ca „angajatul are un interes legitim sa folosească facilitățile companiei în interes personal într-o anumita măsura”. Poziția Grupului de lucru, care surclasează în ierarhie autoritatea elenă, trebuie luată foarte bine în calcul de angajatori când decid măsurile adecvate pentru compania lor.
Avizul Grupului de lucru vine in completarea jurisprudenței curților de justiție ale UE, care au recunoscut de mult timp dreptul la viată privată al angajatului la birou (Niemietz vs Germania, Copland vs UK, Bărbulescu vs România). Utilizarea facilităților de serviciu, care include și comunicațiile în interes personal de pe echipamentele firmei, e circumscrisă dreptului la viată privată. Iar angajatul nu poate fi pus în fața unei interdicții absolute de a folosi resursele informatice ale companiei in interes personal.
Pe de-o parte instituirea unei astfel de interdicții poate avea valențe de dreptul muncii, angajatorului putându-i-se reproșa că aduce o înfrângere dreptului la viață privată al angajatului.
Pe de alta parte, nimeni nu îi va putea refuza angajatului drepturile recunoscute de GDPR cu privire la datele sale personale stocate pe echipamentele companiei motivat de faptul ca acesta nu ar fi avut, de fapt, voie sa le utilizeze. Ca atare, angajatul care a folosit echipamentele companiei în interes personal, în pofida interdicției de a le folosi, va avea oricum drepturile stabilite prin GDPR, incluzând dreptul de acces și ștergere.
Da, sunt echipamentele companiei si da, poate e surprinzător că autoritățile de la vârf nu recunosc companiei dreptul absolut de a decide cum vrea sa le dispună de proprietatea ei. Am văzut nenumărate comentarii online în care reprezentanții companiilor erau siderați de ideea că nu pot să hotărască că laptopurile de serviciu sau rețelele companiei vor fi folosite doar pentru scopul în care au fost achiziționate, adică pentru muncă.
Subiectul se pretează unor discuții ample și, indiferent de ce parte înclini, în final poți ajunge să înțelegi că valorile fundamentale care au fost puse în balanță sunt dreptul de proprietate al firmei (și toți ne dorim ca dreptul nostru de proprietate să fie absolut) și dreptul la viața privată al omului (și, din nou, cu toții ne dorim să avem o viață liberă de supraveghere și de restrângeri ale comportamentului nostru natural).
Și, când analizăm comparativ aceste două drepturi la care cu toții ținem, oricât de atașați am fi de ideea de proprietate absolută, e posibil să realizăm că nu am dori să fim puși în posturi care să echivaleze cu renunțarea noastră la viața privată. Postura de angajat ar fi una dintre ele dacă s-ar considera că angajatul renunță la viața sa privată când trece pragul biroului. Sau că trebuie să își aducă propriile echipamente de acasă dacă mai vrea sa tină legătura cu lumea în timpul programului de lucru. Și, cum normele legale sunt făcute inclusiv pentru a asigura echilibrul social, de data asta este sacrificat angajatorul, care e pus în situația de a nu putea dispune cum dorește de proprietatea lui. Cam asta a fost gândirea care a generat reglementările pe care le-am menționat aici.
Dacă ești angajator, ai două variante – să fii indignat de apăsarea acestor reglementari limitative pe care nu le poți schimba sau să fii pregătit.
Ești angajator. Ce să faci ca să fii pregătit:
- Să elaborezi o politică de utilizare acceptabilă a resurselor informatice, care să indice cât, cum și în ce mod îi este permis angajatului să le folosească, în loc să institui o interdicție absolută de a folosi echipamentele IT&C;
- Să introduci o procedură de predare-primire a echipamentelor informatice la plecarea angajatului, care să prevadă obligația acestuia de a își prelua si șterge de pe suporturile companiei toate datele personale, inclusiv corespondenta, fotografiile etc, în loc să cauți sute sau chiar mii de mail-uri în arhiva după plecarea angajatului, în răspuns la cererea sa de acces. O notă adiacentă – o instanță din UE a decis recent că cererea de acces la arhiva de email-uri a angajatului poate avea caracter excesiv, dar asta nu înseamnă că lucrurile nu ar putea fi văzute altfel de alte instanțe.
- Să stabilești în regulamentele interne obligația angajatului de a eticheta corespondența privată sau alte date personale cu indicativul „Personal”, fapt care poate facilita identificarea rapidă a datelor personale în procesul de predare-primire;
- Să stabilești în regulamentele interne condițiile în care poți accesa echipamentele angajatului în lipsa lui, pentru a nu fi expus acuzațiilor de încălcare a vieții private. Prin cazul Libert vs Franța s-a stabilit că angajatorul poate accesa fișierele electronice ale salariatului în lipsa lui, având un interes legitim de a verifica dacă acestea sunt folosite conform dispozițiilor contractuale și regulilor companiei. În cazul în care fișierele nu au fost etichetate ca „personale”, prezumția este ca ele sunt profesionale.
- Să informezi angajații legat de orice monitorizare a resurselor informatice pe care dorești să o întreprinzi, înainte de a o face. Că este vorba de monitorizarea volumului de trafic sau a conținutului corespondențelor, monitorizarea este posibilă dacă și în măsura în care angajatorul poate demonstra un interes legitim să o facă și dacă angajatul a fost conștientizat în prealabil de intenția angajatorului. Viziunea este că angajatorii mai degrabă trebuie să încerce să prevină comportamentele neadecvate ale angajaților, mai degrabă decât să își securizeze mijloace mult mai intruzive de a le combate.
Și dacă suntem angajat, și dacă suntem angajator, în epoca in care trăim ne unește un numitor comun – Valorăm cât valorează datele noastre. Așa că să le gestionăm înțelept.
andreea-vlantoiu gdpr