Regulamentul General privind Protecția Datelor (GDPR) ridică multe întrebări cu privire la impactul GDPR asupra relațiilor de muncă. Nu este o noutate faptul că în cadrul majorității organizațiilor, angajații au fiecare câte o adresă de e-mail de serviciu pe formatul nume.prenume@companie.ro. În prezentul articol voi aborda un subiect de actualitate și întâlnit frecvent în practică: poate un angajator să acceseze adresa de e-mail de serviciu a unui fost angajator?
Înainte de a răspunde la întrebare, vom discuta, cu titlu preliminar, câteva aspecte deosebit de importante pentru înțelegerea problematicii abordate.
Este adresa de e-mail o dată cu caracter personal?
Orientările europene sunt în sensul în care o adresă de e-mail pe formatul nume.prenume@companie.ro sau chiar pe formatul nume@companie.ro, este o dată cu caracter personal. Adresele de e-mail pe formatul office@companie.ro nu sunt date cu caracter personal, însă acest lucru nu înseamnă că acestea nu ar trebui protejate deoarece conțin informații sensibile. Conținutul e-mailurilor pot conține de asemenea, o multitudine de informații personale, precum datele de contact ale clienților, informații financiare, date medicale, iar în cazurile nefericite, inclusiv discuțiile private ale angajatului/fostului angajat.
De asemenea, Deciziei civile nr. 34/09.03.2017 a Curții de Apel București, Secția a VIII-a Contencios Administrativ și Fiscal (nepublicată), s-a statuat, în mod definitiv, faptul că adresele de e-mail a căror denumire cuprinde numele, prenumele și locul de muncă al unei persoane (de exemplu, ion.ionescu@companie.ro), reprezintă informații ce servesc la identificarea persoanei fizice, respectiv sunt date cu caracter personal în sensul legislației privind protecția datelor.
În acest sens, a statuat și Înalta Curte de Casație și Justiție în decizia privind dezlegarea unor chestiuni de drept, decizia nr. 37 din 7 decembrie 2015, potrivit căreia în interpretarea și aplicarea art. 2 alin. (1) lit. c) din Legea nr. 544/2001 și art. 3 alin. 91) lit. a) din Legea nr. 677/2001, numele și prenumele unei persoane reprezintă informații referitoare la date cu caracter personal, indiferent dacă, într-o situație dată, sunt sau nu suficiente pentru identificarea persoanei.
Conversații private pe e-mail-ul de serviciu…
Comoditatea îi determină pe unii angajați să folosească adrese de e-mail de serviciu pentru activități domestice, precum achiziții online sau chiar discuții personale. Cât de permis este acest lucru de GDPR? În primul rând, e lesne de înțeles că angajatorul nu poate controla cum folosește un angajat e-mailul de serviciu. Însă, având în vedere că (1) GDPR impune angajaților să nu colecteze mai multe date decât sunt necesare și (2) orice operator (în speță, angajatorul) trebuie să implementeze măsuri tehnice și organizatorice adecvate, aș spune că angajatorii ar trebui să cunoască faptul că… nu ar trebui să amestece viața personală cu atribuțiile de serviciu. Organizația ar trebui să aibă politici adecvate prin care angajaților li se aduce la cunoștință nu doar cum să protejeze datele personale ale organizației, ci cum să își protejeze datele lor personale. Compania ar trebui să explice angajaților că nu ar trebui să folosească e-mail-ul de serviciu în scop personal atât prin training-uri și ar trebui să aibă proceduri implementate (actualizarea ROI cu un capitol privind protecția datelor, acorduri de confidențialitate, politici de confidentialitate/securitate etc) pentru protecția datelor personale, inclusiv protecția propriilor informații personale.
Cu alte cuvinte, conversațiile private pe e-mailul de serviciu nu sunt interzise per se de Regulament, însă angajatorii ar trebui să depună diligențe pentru a atrage atenția angajaților asupra riscurilor la care se pot expune, mai ales în situația în care e-mailurile de serviciu sunt monitorizate 🙂
E-mail-uri de serviciu monitorizate
Vă amintiți de celebru caz de la CEDO Bărbulescu vs România? Pe scurt, domnul Bărbulescu a fost obligat de către angajator să își creeze o adresă de yahoo messenger pentru a ține legătura cu clienții, însă conversațiile de pe yahoo messenger cu logodnica și fratele său au fost monitorizate de către companie, fără ca dnul Bărbulescu să aibă cunoștință de acest lucru. Peste ceva timp, domnul Bărbulescu a fost concediat deoarece încălcase regulamentul intern care îl obliga să nu folosească internetul în scop personal. A contestat fără succes decizia la instanțele din România invocând violarea secretului corespondenței. În cele din urmă, CEDO (Marea Camera) a dat o decizie cel puțin interesantă, prin care statuat, printre altele, că monitorizarea conversațiilor electronice la locul de muncă este permisă dacă se îndeplinesc cumulativ următoarele condiții:
- există un interes legitim al companiei de a monitoriza (supravegherea îndeplinirii sarcinilor de serviciu, securitate etc);
- nu au fost găsite metode mai puțin intruzive pentru atingerea scopului;
- angajatul a fost informat în prealabil cu privire la faptul că e-mailul este supravegheat.
În această situație, temeiul juridic nu este consimțământul angajatului (care, conform opiniei WP29, în majoritatea cazurilor, este invalid, existând un dezechilibru de putere), ci interesul legitim.
Cu privire la monitorizare ar trebui să ne amintim că Legea 190/2018 privind măsurile de punere în aplicare al GDPR impune următoarele condiții:
a) interesele legitime urmărite de angajator sunt temeinic justificate și prevalează asupra intereselor sau drepturilor și libertăților persoanelor vizate – prin urmare trebuie documentată o analiză a interesului legitim și păstrată pentru un eventual control.
b) angajatorul a realizat informarea prealabilă obligatorie, completă și în mod explicit a angajaților;- notele de informare către angajați trebuie să prevadă că se utilizează mijloace de monitorizare.
c) angajatorul a consultat sindicatul sau, după caz, reprezentanții angajaților înainte de introducerea sistemelor de monitorizare;
d) alte forme și modalități mai puțin intruzive pentru atingerea scopului urmărit de angajator nu și-au dovedit anterior eficiența; și
e) durata de stocare a datelor cu caracter personal este proporțională cu scopul prelucrării, dar nu mai mare de 30 de zile, cu excepția situațiilor expres reglementate de lege sau a cazurilor temeinic justificate.
Putem accesa e-mailul fostului angajat?
Pe scurt, da, însă doar dacă sunt respectate anumite condiții pe care le vom indica mai jos.
„Atunci când un angajat părăsește organizația, angajatorul ar trebui să ia măsurile tehnice și organizatorice necesare, astfel încât poșta electronică a angajatului să fie dezactivată în mod automat. În cazul în care, pentru buna funcționare a organizației, este necesar să fie recuperat conținutul poștei electronice a unui angajat, angajatorul ar trebui să adopte măsurile adecvate pentru recuperarea conținutul acesteia înainte de plecarea angajatului și, dacă este posibil, în prezența lui.” – CEDO, Cauza Bărbulescu vs România.
Așadar, atunci când un angajat părăsește compania, e-mailul trebuie dezactivat și redirecționat către o nouă adresă, iar conținutul ar trebui recuperat înainte de plecarea angajatului. Dacă totuși, angajatul e plecat deja, iar compania nu avea cunoștință de acest lucru, va trebui să recupereze și să dezactiveze în cel mai scurt timp, deoarece un timp îndelungat poate conduce către un cuantum al amenzii mai mare.
În cursul anului 2016, o societate din România a fost amendată de ANSPDCP deoarece a păstrat mai mult decât era cazul (aproximativ un an) un e-mail al unui fost colaborator, invocând, printre altele, că a trebuit să păstreze adresa de e-mail deoarece clienții societății erau obișnuiți să contacteze această adresă de e-mail. Procesul-verbal a fost contestat la Tribunalul București. S-a pierdut în fond și s-a făcut apel la Curtea de Apel București.
Prin Decizia Civilă nr. 34/09.03.2017, Curtea de Apel București a statuat, printre altele, că:
– există un interes legitim („Tribunalul reține că redirecționarea e-mailurilor este similară noțiunii de acces la informații, din moment ce poate vizualiza conținutul e-mailurilor trimise pe adresa de e-mail vizată. De asemenea, la data de ___, toate e-mailurile au fost recuperate, petenta având acces la conținutul acestora. Tribunalul reține că intervenția petentei pentru a urmări modul în care și-a desfășurat activitatea fostul angajat a fost legitimă.”)
– nu este nevoie consimțământ, angajatorul se poate baza pe interes legitim („Totuși, potrivit art. 5 alin. (2) lit. e) din lege, consimțământul persoanei vizate nu este cerut când prelucrarea este necesară în vederea realizării unui interes legitim al operatorului sau al terțului căruia îi sunt dezvăluite datele, cu condiția ca acest interes să nu prejudicieze interesul sau drepturile și libertățile fundamentale ale persoanei vizate. Tribunalul reține că petenta avea dreptul de a verifica dacă obligațiile asumate în desfășurarea raporturilor contractuale cu clienții au fost respectate și nu se poate reține vreun prejudiciu față de angajatul care avea obligația de a presta activitatea pentru societate. Pentru aceste motive, Tribunalul reține că fapta sub aspectul accesării și prelucrării informațiilor din e-mailurile cu caracter profesional nu se confirmă, pe de-o parte, conținutul e-mailurilor profesionale nefiind date cu caracter personal, iar, pe de altă parte, intră sub regimul excepției reglementate de art. 5 alin. (2) lit. e) din lege.”)
– angajatorii ar trebui să nu acceseze niciodată discuții personale și să le șteargă în cel mai scurt timp („Cu toate acestea, aprecierile instanței nu rămân valabile în privința e-mailurilor cu conținut privat sau din alte activități. Deși intervenienta avea obligația să utilizeze e-mailul doar în scop profesional și petenta nu avea așteptarea să regăsească aceste e-mailuri în contul intervenientei, totuși acestea au fost recuperate și stocate pentru un an, fapt ce presupune prelucrarea lor în sensul art. 3 lit. b) din lege. Interdicția impusă intervenientei nu schimbă caracterul de date cu caracter personal al e-mailurilor personale sau din alte activități. […] Pentru aceste motive, fapta se confirmă în ceea ce privește prelucrarea e-mailurilor cu caracter personal sau din alte activități.”)
La o primă lectură, apare un paradox. CEDO spune că angajatorul ar trebui să recupereze e-mailurile înainte de plecarea angajatului, iar Curtea de Apel București spune că recuperarea se poate face și după plecare, însă, în cel mai scurt timp. Luând în calcul (1) formularea „ar trebui” în loc de „trebuie” a CEDO și (2) faptul că accesul la conținutul e-mailului poate fi extrem de important, de la caz la caz, se poate aprecia dacă există un interes legitim de a accesa adresa de e-mail a fostului angajat.
Recomandări. Soluții.
Având în vedere cele expuse mai sus putem concluziona și putem emite chiar o soluție care poate fi utilă companiilor aflate în această situație:
- Pe viitor, companiile ar trebui să aibă grijă să recupereze conținutul e-mailului înainte de plecare și, dacă se poate, în prezența angajatului.
- Dacă nu s-a respectat punctul 2., companiile ar trebui să recupereze în cel mai scurt timp conținutul necesar, să redirecționeze și să șteargă e-mailul. Poate fi util să informeze în acest sens angajatul și să îi propună ștergerea conținutului confidențial.
- În toate cazurile în care se merge pe interes legitim pentru monitorizarea și/sau accesarea e-mail-urilor după plecarea angajatului, trebuie documentată o analiză a interesului legitim care să îi permită angajatorului să aibă acces.
Rețineți faptul că GDPR nu cere perfecțiune, ci o abordare bazată pe risc, și, atâta timp cât compania depune eforturi constante pentru respectarea Regulamentului, nu ar trebui să existe probleme. Iar când e vorba despre protecția datelor cu caracter personal, ar trebui să ne punem mai des întrebări.
