O companie monitorizează activitatea online a angajatului în timpul orelor de muncă. Datele colectate arată site-urile care sunt vizitate de către angajați și descărcările efectuate în timpul programului de lucru. Compania nu a obținut acordul angajaților pentru monitorizarea electronică, însă dorește să utilizeze interesul legitim.
Poate compania utiliza interesul legitim?
Pentru a răspunde la această întrebare, ar trebui să avem în vedere art. 5 din Legea 190/2018, care prevede că:
„În cazul în care sunt utilizate sisteme de monitorizare prin mijloace de comunicații electronice și/sau prin mijloace de supraveghere video la locul de muncă, prelucrarea datelor cu caracter personal ale angajaților, în scopul realizării intereselor legitime urmărite de angajator, este permisă numai dacă:
a) interesele legitime urmărite de angajator sunt temeinic justificate și prevalează asupra intereselor sau drepturilor și libertăților persoanelor vizate;
b) angajatorul a realizat informarea prealabilă obligatorie, completă și în mod explicit a angajaților;
c) angajatorul a consultat sindicatul sau, după caz, reprezentanții angajaților înainte de introducerea sistemelor de monitorizare;
d) alte forme și modalități mai puțin intruzive pentru atingerea scopului urmărit de angajator nu și-au dovedit anterior eficiența; și
e) durata de stocare a datelor cu caracter personal este proporțională cu scopul prelucrării, dar nu mai mare de 30 de zile, cu excepția situațiilor expres reglementate de lege sau a cazurilor temeinic justificate.”
În consecință, chiar dacă literele a-e ar fi respectate, atâta timp cât există metode mai puțin intruzive la dispoziția angajatorului, acesta din urmă nu se poate baza pe interes legitim. În situația prezentată mai sus, o metodă mai puțin intruzivă este limitarea accesului către anumite site-uri care nu sunt în interes de serviciu. Așadar, atâta timp cât angajatorul nu poate dovedi că o metodă mai puțin intruzivă nu a fost eficace în trecut, nu se poate baza pe interes legitim, singura soluție rămasă este obținerea unui comsimțământ informat al angajatului în care i se explică acestuia concret, printre altele, metodele de supraveghere folosite și impactul asupra vieții private.
Te-ar putea interesa și:
- CJUE. Administratorul unui site are un interes legitim de a stoca IP-urile pentru a se apăra împotriva atacurilor cibernetice
- GDPR. În ce condiții putem accesa e-mailul unui fost angajat?
- GDPR. Pot solicita angajatului cazierul judiciar? #legaluprăspunde
- 6 lucruri pe care trebuie sa le știe orice angajator despre GDPR
Sursa aici