Cea mai recentă decizie a Marii Camere a CEDO în cazul Bărbulescu vs. România condamnă statul român pentru încălcarea articolului 8 din Convenția Europeană a Drepturilor Omului, pentru că nu a reușit să păstreze un echilibru între dreptul angajatului la viață privată și dreptul angajatorului de a-și securiza afacerea.
Cazul
Bogdan Bărbulescu se ocupa de vânzări într-o firmă din București și i se trasase sarcina să facă un cont de yahoo messenger pentru relația cu clienții (Facebook nu era încă așa de popular). El era cel care folosea contul, deținea parola și credea că e singurul care știe și ce scrie prin el. Conform datelor citate în hotărârea Marii Camere a CEDO de ieri, Bărbulescu ar fi aflat că firma monitorizează corespondența angajaților abia în 2007, când în firmă s-a făcut un fel de public shaming privitor la faptul că o altă angajată a fost data afară pentru că folosise telefonul și imprimanta companiei în scopuri personale. După aceea a fost chemat și el la conducere unde i s-a reproșat că spre deosebire de alți colegi el cam abuzează de Internet. El a motivat că e în interes de serviciu, apoi a fost confruntat cu 40 de pagini de transcrieri ale conversațiilor sale pe yahoo messenger care demonstrau că a mai vorbit și cu logodnica și cu fratele său, de pe messengerul său privat. Bărbulescu a acuzat conducerea că i-a violat corespondența, dar a fost concediat.
Procesul
El s-a adresat instanței, însă fără success. Justiția română a zis că a fost concediat pe drept, că angajatorul a respectat codul muncii și toate legile în vigoare, că l-a informat că îl monitorizează și că are tot dreptul să facă asta pentru că e în timpul muncii, pe computerul și Internetul companiei. Că astfel de monitorizări fac parte din mijloacele unei companii de a se proteja de atacuri cibernetice sau de potențiale fraude comise de angajați.
După epuizarea căilor de atac în România, în 2008 Bărbulescu s-a adresat CEDO, care la prima decizie, în 2016, a confirmat într-o oarecare măsură deciziile instanțelor românești. Totuși, procesul a fost dus mai departe, la Marea Cameră, care în 5 septembrie 2017 a decis să nuanțeze decizia CEDO și să sublinieze condițiile pe care un angajator trebuie să le respecte dacă vrea să-și monitorizeze angajații, precum și măsurile pe care statele trebuie să le ia pentru a se asigura că drepturile angajaților sunt respectate chiar și în aceste situații.
Într-un articol publicat de site-ul hotnews.com, avocații care l-au reprezentat pe Bărbulescu la CEDO, Emeric Domokos-Hancu si Ovidiu Juverdeanu, enumeră aspectele la care angajatorii trebuie să fie atenți când își monitorizează angajații:
- Nu este suficientă existența unei politici generale (precum regulamentul intern) prin care să fie impusă o interdicție generală pentru angajați de a utiliza resursele companiei, iar angajații să fie notificați la modul general asupra unei (eventuale) monitorizări a corespondenței prin e-mail si/sau a altor comunicări.
- Informarea angajatilor si/sau politica stabilita la nivelul companiei cu privire la acest aspect ar trebui să fie particularizată și clară în legatură cu natura monitorizării, în sensul că ar trebui să detalieze în avans, cel puțin:
- dacă face obiectul monitorizării doar fluxul de corespondenta sau si continutul acesteia;
- dacă sunt monitorizate toate comunicările sau doar o parte a acestora;
- dacă monitorizarea este limitată în timp și cine sunt persoanele care au acces la aceste comunicări;
- consecintele monitorizării pentru angajatii vizați;
- utilizarea de către angajator a rezultatului monitorizării.
- Angajatorul ar trebui sa poata justifica si exprima un motiv/interes legitim pentru monitorizare. Datorita naturii sensibile a corespondentei, Curtea a subliniat ca monitorizarea continutului corespondentei necesita o argumentare mai detaliata din partea angajatorului.
- Un motiv/interes teoretic precum nevoia generala de a evita producerea de daune sistemelor IT ale companiei sau posibila raspundere atrasa in sarcina companiei in cazul faptelor ilicite nu reprezinta, in opinia Curtii, un motiv/interes real/actual
- Angajatorii trebuie sa fie atenti ca o notificare generala in avans cu privire la monitorizare, inclusiv in cadrul regulamentului intern, nu pare a indeplini cerinta de a avea un motiv/interes real, particular. Astfel, este posibil ca angajatorilor sa li se ceara sa faca dovada motivului/interesului real, precum si sa indeplineasca cerinta notificarii prealabile, inainte de a initia o sesiune de monitorizare a comunicarilor angajatilor.
- Angajatorul trebuie sa evalueze in lumina particularitatilor fiecarui caz daca scopul urmarit poate fi atins fara accesarea efectiva a continutului complet al comunicarilor angajatilor.
Și Bogdan Manolea, jurist specializat în tehnologia informației și drepturi digitale, comentează pe blogul personal decizia Marii Camere în cazul Bărbulescu, subliniind rolul statului în astfel de cazuri:
- În primul rând, că Statele (inclusiv România) au obligația de a se asigura că un angajator nu poate să ia măsuri de supraveghere a angajaților doar pentru că vrea și fără a asigura garanții adecvate împortiva abuzului. În același timp, se lasă posibilitatea unei largi zone în care această obligație se poate îndeplini - probabil de la un cadru normativ specific sau printr-o jurisprudență adecvată a instanțelor (inclusiv cele din zona dreptului muncii - vezipar. 113-120 din Decizie pentru detalii);
- În al doilea rând, CEDO deja creionează în par. 121 o serie de șase criterii care pun bazele nivelului minimal de asigurare a proporționalității și garanțiilor pentru un caz de monitorizare a angajatului:
- Informarea prealabilă a angajatului, inclusiv cu privire la natura monitorizării și momentul implementării măsurilor;
- Proporțiile monitorizării și nivelul de intruziune în viața privată a angajatului, inclusiv cu privire la date de trafic, conținut sau coordonate de localizare;
- Dacă vorbim de accesul la conținutul comunicațiilor, identificarea motivelor legitime pentru care o astfel de măsură este necesară;
- Posibilitatea implementării unui sistem de monitorizare mai puțin;
- Consecințele monitorizării și dacă rezultatele nu au fost folosite în alt scop;
- Garanții suficiente pentru angajat, în special pentru accesul la conținutul comunicațiilor.
Bogdan Manolea conchide: „În condițiile în care piața e plină de soluții de supraveghere electronică (nu doar a angajaților), unde majoritatea celor implicați (producători sau vânzători ori consultanți) "uită" să menționeze că soluțiile pot fi folosite doar în anumite condiții legale, va fi crucial rolul instanțelor să aplice corect decizia CEDO și rolul autorităților competente să aplice Regulamentul UE pentru protecția datelor personale - GDPR, pentru avea un regim legal funcțional, și nu doar pe hârtie.”