Controlul activitații angajaților prin intermediul unui software de securitate

Normele de (1) dreptul muncii, cele cu privire la (2) dreptul la viață privată, precum și legislația incidentă în materia (3) protecției datelor cu caracter personal, transformă obsesia unui angajator pentru controlul salariaților într-un lux juridic pe care nu și-l poate permite (facil).

Conform dispozițiilor art. 40 lit. d) din Codul muncii, angajatorul are dreptul să exercite controlul asupra modului de îndeplinire a sarcinilor de serviciu. Conform art. 71 și urm. din Codul muncii, fiecărei persoane îi este recunoscut dreptul la viață privată. Aparent, există un conflict între acestea în ipoteza în care Angajatorul dorește să uzeze de software-ul de securitate pentru a monitoriza activitatea salariatului. Conflictul, însă, se rezolvă prin raportare la aplicarea art. 5 din Legea nr. 190/2018 și criteriile recunoscute jurisprudențial de către CEDO în aplicarea art. 8.

Politicile interne de prelucrarea a datelor cu caracter personal, Procedurile interne de securitate, Regulamentele Interne, Contractele colective de muncă sau orice alte acte cu caracter normativ emise de către angajator sunt relevante pentru evaluarea in concreto a legalității modalității de monitorizare a activității salariaților.

Nu în ultimul rând, depindem și de documentația tehnică a software-ului de securitate, adică a „manualul de utilizare”.

Prezenta analiză a avut în vedere implicațiile legale generale ale monitorizării activității salariaților, pornind prioritar de la dispozițiile imperative și speciale ale art. 5 din Legea nr. 190/2018 prin raportare la modul de operare a unui software de securitate anume.

I. Status Quo:

Angajatorul pune la dispoziția fiecărui salariat dispozitive IT (ne vom referi generic „calculator/ laptop”) conectate la Internet, ca și resursă uzuală, indispensabilă și aproape unică pentru îndeplinirea atribuțiilor/ sarcinilor de lucru de către aceștia.

În context, fără să existe o schimbare (recentă) a modalității de îndeplinire a atribuțiilor/ sarcinilor de serviciu de către salariați, angajatorul dorește să instaleze pe dispozitivele IT proprietatea acestuia, un software de securitate, ca parte a alinierilor politicilor de securitate existente la nivelul asociatului/ asociaților societății angajatorului.

Software-ul de securitate conține, printre altele, un modul (în continuare „modul 1”) care permite urmărirea activității online și offline desfășurate pe dispozitivului IT a utilizatorului.

Într-un limbaj simplist, prin intermediul software-ului, Angajatorul poate oricând urmări (exemplificativ) traficul de Internet al utilizatorului, paginile de Internet accesate (browser-ul), să încarce și să descarce fișiere de pe calculatorul salariatului, să rule-ze script-uri pe acesta, să urmărească aplicațiile în uz sau care au fost în uz, etc. Nu se cunoaște dacă acesta permite și accesul la corespondența utilizatorului, pe durata cât aceasta este deschisă pe ecran (cel puțin).

Un al doilea modul (în continuare „modul 2”) este cel de control remote, prin care un agent al angajatorului sau o persoană împuternicită de către acesta (ex. echipa de suport IT a angajatorului) preia controlul (complet) asupra tastaturii și a mouse-ului, pe durata existenței sesiunii pe calculatorul salariatului. Pe dispozitivele IT pe care există un sistem de operare iOS, acest acces este necondiționat și deci nelimitat. Pe dispozitivele IT pe care există un sistem de operare Windows, acest acces este condiționat de acordul utilizatorului per sesiune. În cadrul Angajatorului, dispozitivele IT sunt în proporție de 90% pe sistem de operare iOS. Salariatul nu poate alege pe ce tip de dispozitiv IT își desfășoară activitatea.

Acest software poate fi configurat astfel încât accesarea calculatorului în cauză să se efectueze în anumite limite. Cu toate acestea, aceste configurări nu sunt transparente, și pot fi revocate sau alterate oricând, neexistând o modalitate de verificare efectivă de către utilizatori (deci salariați) a setărilor de la un moment dat (alta decât simplele afirmații/ susțineri ale Angajatorului). În esență, configurarea este în controlul exclusiv al Angajatorului, în mod discreționar și opac.

În acest context, Angajatorul (prin raportare la software-ul de monitorizare) trebuie să îndeplinească o serie de condiții obligatorii pentru ca urmărirea activității salariaților să nu reprezinte o ingerință în viața privată a acestora,

1) în concret, o încălcare art. 8 din CEDO, a art. 5 din Legea nr. 190/2018 și a art. 71 și urm. din Codul civil,

2) cu consecințe asupra dispunerii sancțiunilor reglementate de art. 83 din RGDP (amenzi administrative) de către ANSPDCP

3) și a angajării răspunderii civile de către salariați pentru vătămările aduse vieții private.

Dezvoltăm.

II. Condițiile obligatorii pe care trebuie să le îndeplinească un sistem de monitorizare a salariaților în accepțiunea art. 5 din Legea nr. 190/2018 și rigorile trasate jurisprudențial de către CEDO odată cu aplicarea art. 8.

Condițiile sunt extrem de restrictive și limitative. Este extrem de important de notat faptul că viața privată a salariatului nu se oprește în momentul în care intră în birou sau în momentul în care deschide laptopul proprietatea Angajatorului.

Această afirmație nu comportă excepții. Nu este o metaforă. Ci o concluzie a unei jurisprudențe consecvente a CEDO cu privire la aplicarea art. 8, care trasează regulile viitoare cu privire la orice discuție referitoarea la respectarea vieții private a unui salariat.

Regulile (rigide) sunt limpezi, de unde și concluzia că, a pune în aplicare un sistem de monitorizare, ab initio pornește de la premisa că este extrem de intruziv (și subiectiv problematic), iar standardele pentru ca această ingerință să fie legală, este extrem de înalt (uneori imposibil de atins).

Prin urmare, când facem afirmații în legătură că obligațiile Angajatorului a fi îndeplinite în temeiul art. 5 din Legea nr. 190/2018 și art. 8 din CEDO, acestea nu sunt simple recomandări și nici un ghid de bună practică, ci norme imperative care nu comportă nuanțări.

Anumite comportamente de la bun început nu trec testul art. 5 din Legea 190/2018 și art. 8 din CEDO, pe care Angajatorul va trebui să le verifice prin raportare la caracteristicile și configurațiile software-ului de monitorizare și să le abordeze ca atare.

Prima condiție recomandată, ar fi efectuarea evaluării DPIA. În acest sens, există aprobat un Ghid. Paradoxal, abia după ce efectuăm DPIA putem verifica dacă am avut nevoie sau nu de DPIA în sensul conformării cu obligațiile reglementate de Dispoziția nr. 174/2018. Dar, cea mai importantă miză este următoarea: această evaluare permite verificarea meticuloasă in concreto a unora dintre condițiile descrise mai jos (reglementate de Legea nr. 190/2018) prin raportare la software-ul de monitorizare, pe care noi le-am putut analiza numai prin raportare la jurispudența CEDO (art. 8).

Lista întrebărilor la care trebuie să răspundă DPIA este generoasă, politicos vorbind. În număr total de 30. Acestea variază de la întrebări precum „cine realizează studiul de impact, care sunt operațiunile de prelucrare?”, până la întrebări precum „care sunt riscurile pentru persoanele vizate, riscurile sunt proporționale cu scopul, cum sunt atenuate riscurile, există și riscuri reziduale?”. După ce operatorul (în cazul nostru Angajatorul), sub îndrumarea consultantului și cu avizul DPO, răspunde la întrebări, aceste întrebări se vor transforma în secțiuni ale evaluării de impact.

În context și de principiu, orice monitorizare trebuie să fie necesară, proporțională, adecvată, relevantă și deloc excesivă pentru scopurile pe care le urmărește Angajatorul. Faptul că un angajator deține proprietatea mijloacelor electronice nu exclude dreptul angajaților la secretul comunicațiilor, datelor legate de locație și de corespondență. Dreptul la viață privată nu încetează odată cu începerea orelor de program. Regulile funcționează și dacă de vorba de activitatea offline, și dacă e vorba de activitatea online.

Ce constituie date personale? Inclusiv e-mailuri și apeluri trimise de la locul de muncă (adică și de pe calculatorul proprietatea Angajatorului), precum și informații provenite din monitorizarea utilizării personale a internetului (tot de pe dispozitivele IT proprietatea angajatorului) sunt protejate de art. 8 din CEDO (în concret, și analiza istoricului browser-ului este dată cu caracter personal, deci va face obiectul analizei art. 5 din Legea nr. 190/2018).

În concret, cazul în care sunt utilizate sisteme de monitorizare prin mijloace de comunicaţii electronice şi/sau prin mijloace de supraveghere video la locul de muncă, prelucrarea datelor cu caracter personal ale angajaţilor, în scopul realizării intereselor legitime urmărite de angajator, este permisă numai dacă: (1.1) interesele legitime urmărite de angajator sunt temeinic justificate şi prevalează asupra intereselor sau drepturilor şi libertăţilor persoanelor vizate; (1.2) angajatorul a realizat informarea prealabilă obligatorie, completă şi în mod explicit a angajaţilor; (1.3) angajatorul a consultat sindicatul sau, după caz, reprezentanţii angajaţilor înainte de introducerea sistemelor de monitorizare; (1.4) alte forme şi modalităţi mai puţin intruzive pentru atingerea scopului urmărit de angajator nu şi-au dovedit anterior eficienţa; şi (1.5) durata de stocare a datelor cu caracter personal este proporţională cu scopul prelucrării, dar nu mai mare de 30 de zile, cu excepţia situaţiilor expres reglementate de lege sau a cazurilor temeinic justificate.

1. Interesul legitim. Scopul determinat pentru care Angajatorul prelucrează aceste date trebuie să fie obligatoriu în scris, cunoscut salariaților și va fi stabilit înainte de începerea colectării datelor (art. 5 din GDPR). Așadar, se impune existența unei documentații în acest sens. Legitimitatea acestuia ar putea fi clarificată cu ocazia efectuării DPIA, care e un demers mai riguros decât LIA (Legitimate Interest Asessment). Simpla monitorizare a eficienței și productivității salariaților nu constituie un scop legitim în sensul legii (prin raportare la jurisprudența CEDO - art. 8).

Gestionarea productivității la locul de muncă, asigurarea controlului calității, verificarea implementării politicilor angajatorului sau furnizarea de dovezi pentru soluționarea litigiilor nu justifică, per se colectarea informațiilor din monitorizarea utilizării personale a internetului. Mai mult decât atât, colectarea datelor cu privire la productivitate nu va putea fi folosită ca metodă singulară de evaluare a salariatului.

Nici măcar siguranța nu este un scop suficient. O motivație teoretică a Angajatorului de a dori evitarea distrugerea/ afectarea sistemelor IT sau potențiala răspundere patrimonială a acestuia în caz de activități ilegale nu constituie scop legitim.Prin urmare, fundamentarea scopului (interesului legitim) pentru care se prelucrează datele personale trebuie să fie extrem de riguroasă (și scrisă, și comunicată salariaților).

Așadar, angajatorul trebuie să aibă niște bănuieli justificate cum că salariatul se folosește de calculator și internet în scop personal, în mod abuziv și pentru activități ilegale, pentru a pute recurge la aceasta.

2. Informarea prealabilă. Este obligatorie și se va face din timp. Prin note de informare, Regulamentul de ordine interioară, Politici și proceduri interne. Toate redactate extrem de clar și previzibil. Se va avea în vedere scopul urmărit, temeiul aplicabil și când anume va avea loc. Se va detalia în ce constă monitorizare.

Prin raportare la modulul 2 (în cazul sistemelor de operare iOS), apreciem că sub aspectul caracterului intruziv, acesta se apropie de o supraveghere video. Faptul că un agent al Angajatorului oricând poate accesa remote calculatorul utilizatorului (inclusiv a efectua capturi de ecran, a accesa corespondență privată, a accesa alte documente private aflate incidental pe dispozitivul IT utilizat) creează o asemănare suficientă cu o supraveghere video. Or, în cazul acestui modul în mod obligatoriu salariatul trebuie să cunoască când se desfășoară acest acces remote, când acesta este activ (în timp real), nefiind permis (deloc) „supravegherea” ascunsă.

Consimțământul salariatului nu ține loc de informare (se poate susține că acordul de voințe nu este liber format dat fiind dezechilibru de forțe dintre părți). Adică, o prevedere în contract/ act adițional cum că este de acord cu tipul de monitorizare dat de software nu echivalează cu îndeplinirea acestei condiții.

3. Alte forme şi modalităţi mai puţin intruzive. Dacă scopul pentru care Angajatorul dorește să recurgă la mecanisme de supraveghere e cel al productivității salariaților, acesta are datoria să încerce măsurile mai puțin invazive: reglementarea expresă într-un Regulament Intern a unor reguli de comportament online și offline, stabilirea unor target-uri concrete și ușor de urmărit, sancțiuni disciplinare asociate, stabilirea unor obiective lunare, trimestriale și anuale de performanță, revizuire fișa postului, etc.

Dacă scopul este cel de securitate, în loc să urmărească traficul de internet sau paginile accesate de către utilizator (modul 1), cu scopul... anticipării și prevenirii materializării riscurilor, acesta poate recurge la blocarea efectivă a unor categorii de site-uri care să poată fi accesate de la calculatorului salariatului. Dacă această posibilitate există, colectarea efectivă a unui impresionant volum de date cu privire la trafic, site-uri vizite, accesat și copiat fișiere în vederea... prevenirii riscurilor de securitate nu se susține. Mai logică este prevenția în contextul blocării unor pagini, comparativ cu monitorizarea post factum a paginilor accesate (fiind mai degrabă o metodă de identificare a sursei/ cauzei breșei de securitate, nu neapărat prevenirea ei). Opțiunea filtrelor web blochează posibilitatea Angajatorului de a argumenta faptul că o măsură generală de monitorizare este singura opțiune la îndemână. Prevenției i se acordă mai multă greutate decât detectării.

Așadar, alternative cum sunt stabilirea interdicției de folosire a e-mail-ului profesional pentru chestiuni private, blocarea accesului la anumite site-uri sau instalarea de soft-uri care sa blocheze accesul la baza de date a angajatorului de pe alte dispozitive decât cele ale societății, sunt cu siguranță preferate.

Practic, întrebarea la care trebuie să se răspundă este: este imperios necesară monitorizarea angajaților pentru atingerea scopului urmărit, sau se poate ajunge la același rezultat folosind mijloace de prelucrare a datelor mai puțin intruzive? Sau este imperios necesară monitorizarea în această formă și cu o asemenea întindere ca să atingem scopul urmărit? Din perspectiva cantității și manierei de colectare a datelor de către software-ul despre în Status Quo, reiese mai degrabă că este o măsură extrem de intruzivă, existând alternative multe mai rezonabile.

4. Proporționalite. Se va verifica prin raportare la riscurile cu care se confruntă Angajatorul.

Riscuri reale, serioase. Din start posibilitatea unei monitorizări continue, neîntrerupte este problematică. Ori de câte ori informațiile nu mai sunt necesare, acestea trebuie șterse. Dar caracterul necesar al acestor informații îl vom putea evalua prin raportare la interesul legitim/ scopul urmărit. Totuși, regula de aur fi următoarea: este măsura excesivă/ nenecesară prin raportare la finalitatea urmărită?

III. Concluzii

Toate aceste condiții (de la art. 5 din Legea nr. 190/2018) sunt cumulative.

Este redundant să menționăm că dacă, de exemplu, scopul pentru care angajatorul vrea să colecteze aceste date nu trece testul interesului legitim, este irelevant câte demersuri calitative și cantitative întreprinde în vederea informării prealabile sau câte consultări cu salariații face. Rigurozitatea sau standardele exacerbate în îndeplinirea celorlalte condiții nu vor substitui/ compensa neîndeplinirea uneia.

În context, apreciem că nici măcar consimțământul expres al salariaților nu va putea substitui neîndeplinirea unei condiții, dintr-un motiv evident – existența raporturilor de subordonare și specificul raporturilor de muncă în care salariatul nu deține o putere de negociere/ de impunere ca în oricare alt raport (juridic) (mai) echilibrat. Dacă apărarea Angajatorului va fi în sensul existenței unui act adițional la Contractul individual de muncă (acordul/ consimțământul expres), întotdeauna valabilitatea consimțământului va fi o chestiune discutabilă. În plus, este suficient să facem trimitere la art. 38 din Codul muncii care reglementează expres nevalabilitatea renunțării, de către salariat, la drepturile sale. Și, prin raportare la art. 5 din Legea nr. 190/2018 (dispoziții imperative), apreciem că dreptul său la viața privată poate fi limitat numai în condițiile restrictive ale art. 5 din Lege, nu oricum altcumva. Deci, o renunțare la aceste minime protecții oferite de lege nu ar putea trece testul art. 38 din Codul muncii.

Chiar și presupunând că interesul angajatorului ar fi legitim, din perspectiva alternativelor (mai puțin intruzive) existente, a lipsei proporționalității măsurii (durata de stocare nelimitată, cantitate excesivă de date colectate, colectare generalizată și continuă) și a dificultății de informare a salariaților (pe modul 1 monitorizarea este neîntreruptă, iar pe modulul 2 este și mai intruzivă și discreționară (pe sistemele de operare iOS)), apreciem că la acest moment legalitatea monitorizării activității salariaților prin intermediul unui soft cu caracteristicile descrise la începutul analizei, riscă să atragă sancțiuni ale ANSPDCP, reglementate de art. 83 din GDPR.

11 mai 2023

Creatorii de conținut

Echipa Burghelea, Docoli, Pop – Societate Civilă Profesională de Avocați

Prezentul articol are la bază o speță analizată și soluționată de către echipa Burghelea, Docoli, Pop – SCPA. Rezultatele spețelor altor subiecți pot fi diferite în funcție de elementele particulare ale fiecărei chestiuni juridice supuse atenției unui profesionist al dreptului.