Znajomy „doniósł” o prywatnych wiadomościach. Kara od włoskiego UODO

Rozróżnienie relacji służbowych od prywatnych to nie tylko slogan, lecz zagadnienie ważne pod kątem ochrony danych osobowych. Nietrudno przyznać, że nasze zachowanie zazwyczaj różni się w pracy od tego wśród najbliższych. We Włoszech wykorzystano prywatne wiadomości udostępniane w wąskim gronie osób podczas postępowania dyscyplinarnego w pracy, co zostało uznane za niezgodne z tamtejszymi przepisami oraz RODO.

Naruszenie ochrony danych osobowych

Gwarant Ochrony Danych Osobowych, włoski odpowiednik UODO, przyjrzał się sprawie wykorzystania informacji z mediów społecznościowych i komunikatorów podczas zwalniania pracownika. Informacje zostały wykorzystane służbowo przez pracodawcę - Autostrade per l’Italia, koncesjonariusza wielu tamtejszych autostrad.

Wśród informacji przetwarzanych przez firmę znalazły się m.in.:

• prywatne wiadomości (zamkniętego grona osób) z Messengera czy WhatsAppa;
• postów na Facebooku, które były widoczne tylko dla znajomych.

Orzeczenie włoskiego organu zawiera bardzo ważne stwierdzenie:

Skutkowało to zatem uzasadnionym oczekiwaniem skarżącej co do poufności treści udostępnionych w określonym gronie odbiorców, biorąc pod uwagę, że była to komunikacja prowadzona w ramach czatu, w zamkniętej grupie na Facebooku, co oznacza, że wykorzystanie tych treści przez osobę trzecią (w tym przypadku pracodawcę) wymagałoby konieczności uprzedniego wyważenia praw i interesów zaangażowanych stron.
Włoski UODO

Gwarant Ochrony Danych Osobowych podkreślił, że w momencie stwierdzenia prywatnego charakteru wiadomości, firma powinna powstrzymać się od uwzględniania ich w swoich działaniach.

Podstawa prawna i kara

Oprócz zapisów włoskiego porządku prawnego przywołano również artykuł 5 RODO, który dotyczy m.in.:

• przetwarzania danych zgodnego z prawem;
• przejrzystości przetwarzania danych;
• konkretnego i uzasadnionego celu zbierania danych;
• adekwatnego oraz ograniczonego „niezbędnie do celów” zbierania danych.

Wspomniano również art. 6 unijnego rozporządzenia, dotyczący możliwego zakresu przetwarzania, którego podpunkty brzmią następująco:

b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;

c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;

f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią (…).

Włoski organ nałożył na firmę karę w wysokości 420 tys. euro, czyli niecałych 1,8 mln złotych w przeliczeniu.

„Nawet w kontekście działalności dyscyplinarnej pracodawca jest zobowiązany do prawidłowego zrównoważenia tej siły z podstawowymi prawami i wolnościami przyznanymi osobom, których dane dotyczą. Przywołana zasada celowości wymaga, aby dane zbierane były w określonych, wyraźnych i zgodnych z prawem celach i przetwarzane w sposób zgodny z tymi celami. Dlatego wykorzystanie w postępowaniu dyscyplinarnym wiadomości wymienianych za pośrednictwem prywatnych kanałów komunikacji nastąpiło z naruszeniem tajemnicy i poufności korespondencji, a więc bez podstawy prawnej” – stwierdzono w komunikacie na stronie regulatora.

Podsumowanie

Pomimo, iż sprawa dotyczy Włoch warto pamiętać, że zapisy RODO obowiązują członków Unii Europejskiej. Rozdzielenie strefy prywatnej i służbowej to ważny sygnał – zarówno dla pracodawców i pracowników.

Warto przypomnieć, że w 2019 roku Rzecznik Praw Obywatelskich z urzędu wszczął sprawę dotyczącą zwolnienia pracownika IKEA za wpisy w mediach społecznościowych.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].