Ce trebuie să înțelegem din Decizia Marii Camere a CEDO în cazul Bărbulescu vs România
Acum aproape doi ani, când apăruse hotărârea CEDO Bărbulescu vs. România am scris o însemnare, ca să rămână gravat faptul că CEDO nu a decis că angajații pot fi monitorizați, ci că "angajatorii nu au nicidecum un drept de a-și urmări angajatii, dar că acest lucru ar putea fi acceptabil în anumite circumstanțe (cum sunt cele din speța în cauză)." Acum două zile, a apărut noua hotărâre CEDO Bărbulescu vs. România a Marii Camere (pentru că CEDO a considerat că e un caz important, care ar putea fi revizuit cu mai multe argumente). Concluzia nu este diferită de cea de mai sus, pe care o punctasem atunci, deși majoritatea au spus că, inclusiv în circumstanțele din speța respectivă, monitorizarea angajatului a fost ilegală. Dar alte două aspecte mi se par mult mai important de subliniat (le găsiți pe scurt și în seria de întrebări și răspunsuri a Curții):
- În primul rând, că Statele (inclusiv România) au obligația de a se asigura că un angajator nu poate să ia măsuri de supraveghere a angajaților doar pentru că vrea și fără a asigura garanții adecvate împortiva abuzului. În același timp, se lasă posibilitatea unei largi zone în care această obligație se poate îndeplini - probabil de la un cadru normativ specific sau printr-o jurisprudență adecvată a instanțelor (inclusiv cele din zona dreptului muncii - vezi par. 113-120 din Decizie pentru detalii);
- În al doilea rând, CEDO deja creionează în par. 121 o serie de șase criterii care pun bazele nivelului minimal de asigurare a proporționalității și garanțiilor pentru un caz de monitorizare a angajatului:
- Informarea prealabilă a angajatului, inclusiv cu privire la natura monitorizării și momentul implementării măsurilor;
- Proporțiile monitorizării și nivelul de intruziune în viața privată a angajatului, inclusiv cu privire la date de trafic, conținut sau coordonate de localizare;
- Dacă vorbim de accesul la conținutul comunicațiilor, identificarea motivelor legitime pentru care o astfel de măsură este necesară;
- Posibilitatea implementării unui sistem de monitorizare mai puțin intruziv (hello, data minimisation!);
- Consecințele monitorizării și dacă rezultatele nu au fost folosite în alt scop;
- Garanții suficiente pentru angajat, în special pentru accesul la conținutul comunicațiilor.
În condițiile în care piața e plină de soluții de supraveghere electronică (nu doar a angajaților), unde majoritatea celor implicați (producători sau vânzători ori consultanți) "uită" să menționeze că soluțiile pot fi folosite doar în anumite condiții legale, va fi crucial rolul instanțelor să aplice corect decizia CEDO și rolul autorităților competente să aplice Regulamentul UE pentru protecția datelor personale - GDPR, pentru avea un regim legal funcțional, și nu doar pe hârtie.
Iar angajatorii trebuie să înțeleagă faptul că o formulare juridică a principiului:
"Băi, eu știu tot ce faceți voi!"
este mult mai complexă decât pare.
PS: Dacă tot vorbeam de GDPR, aruncați-vă o privire pe site-ul MAI, pentru că au pus în dezbatere publică ieri un proiect de lege, care practic implementează partial GDPR în legislația română. Caută după: Proiectul de Lege pentru modificarea și completarea nr. Legii nr. 102/2005 privind înfiinţarea, organizarea şi funcţionarea Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal, precum și pentru abrogarea Legii nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date [...]
Add new comment