Ne mai interesează să ne protejăm datele cu caracter personal?

Să vedeţi ce legături periculoase se fac în capul meu...m-au obosit dezbaterile interminabile, de multe ori fără niciun argument, dacă nu juridic, măcar de bunsimţ, pe tema cartelelor, interceptărilor, stocării datelor cu caracter personal...

Doar că articolul meu începe de la faptul că Ministerul Apărării din Coreea de Sud, „a neutralizat” luni 15 iunie 2013 toate smartphone-urile angajaţilor pentru a preveni şi împiedica orice scurgere de informaţii confidenţiale. Cum au reuşit? Angajaţilor li s-a solicitat să instaleze pe telefon aplicaţia „Mobile Management Device” înainte de a începe lucrul. Aplicaţia respectivă a apărut în momentul în care angajatorii au devenit îngrijoraţi de numărul mare şi în continuă creştere al dispozitivelor mobile pe care angajaţii le foloseau pentru a accesa datele companiei, fiind de fapt o modalitate de gestionare a dispozitivelor, aşa cum îi spune şi numele. Revenind la Coreea de Sud, în speţă angajaţii puteau efectua şi primi apeluri, puteau trimite şi primi mesaje, dar nu puteau naviga pe internet sau folosi camera integrată în smartphone.

Cum legislaţia coreeană nu prezintă chiar atât de mare interes, m-am gândit să discutăm pornind de la această situaţie despre convorbiri telefonice la locul de muncă, monitorizarea lor, date cu caracter personal şi să ne raportăm şi la jurisprudenţa CEDO.

În primul rând, Legea 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date defineşte datele cu caracter personal ca fiind orice informaţii referitoare la o persoană fizică identificată sau identificabilă, persoana identificabilă reprezentând acea persoană care poate fi identificată direct sau indirect, în mod particular prin referire la un număr de identificare ori la unul sau mai mulţi factori specifici identităţii sale fizice, fiziologice, psihice, economice, culturale sau sociale. Concret, poate fi vorba de la codul numeric personal, seria carţii de identitate până la numărul unui autovehicul, IP-ul unui calculator sau coordonatele GPS!

Cred că este important de subliniat că în momentul în care un angajator decide să desfăşoare o astfel de activitate de colectare şi prelucrare de date cu caracter personal, îi incumbă o serie de obligaţii, conform legii amintite anterior. Printre aceste obligaţii sunt: obligaţia de a notifica autorităţilor competente orice prelucrare, obligaţia de a-i permite persoanei vizate accesul la aceste date, obligaţia de a infroma persoana vizată care va avea dreptul să se opună la procesarea datelor sau să corecteze aceste date. De asemenea, luând în considerare natura datelor cu caracter personal, ele trebuie păstrate în condiţii de siguranţă.

La nivelul Uniunii Europene, din nefericire nu există reglementare unitară în domeniu. Sunt state precum Marea Britanie unde există un act normativ „Regulation of Investigatory Powers Act” şi state unde se merge pe interpretarea unor principii generale de dreptul muncii în legătură cu internetul, interpretare consemnată în rapoarte cu caracter de recomandări ale unor instituţii. Menţionez că există şi un document al Grupului de Lucru pentru Protecţia Datelor Personale, intitulat „Document de lucru asupra supravegherii comunicaţiilor electronice la locul de muncă” care conţine recomandări făcute de acest organ consultativ european.

Mai departe, merită citită decizia Copland vs. UK, a CEDO, în care se pune problema dacă la locul de muncă există viaţă privată în sensul articolului 8 din Convenţia Europeană a Drepturilor Omului. Şi veţi vedea imediat şi de ce m-am oprit asupra acestei decizii. Ştim toţi că din ce în ce mai mulţi români au acces la internet nu doar de acasă, ci şi la locul de muncă sau de pe dispozitive mobile. Trebuie să fim realişti şi să admitem că foarte puţini dintre angajaţi folosesc internetul de la locul de muncă strict în scop profesional şi nu accesează pagini şi în scop personal. Înţeleg că unele firme private din România au adoptat o poziţie în acest sens, pornind de la premisa că accesul salariaţilor la internet poate duce la scurgeri de informaţii şi au precizat expres drepturile şi obligaţiile angajatului cu privire la accesul la internet în timpul serviciului fie prin anexă la contractul de muncă, fie printr-un regulament de ordine interioară. Totuşi, o mare parte dintre angajatori monitorizează neîntrerupt traficul de date sau convorbirile angajaţilor, stocând date, fără că angajatul să ştie despre acest lucru.

Revenind la jurisprudenţa CEDO, în speţa Copland vs. UK este vorba despre o angajată a Colegiului Carmarthenshire căreia, începând cu sfârşitul anului 1999, i-au fost monitorizate email-ul, telefoanele şi traficul de date. Conform Legii Educaţiei din Marea Britanie (The Further and Hiigher Education Act 1992) cu privire la invăţământul superior, Curtea a reţinut că respectivul Colegiu este un organism administrat de stat, o insituţie publică. Tocmai de aceea doamna Copland a dat în judecată Guvernul britanic. La momentul la care s-a făcut monitorizarea, Colegiul nu avea nicio politică în vigoare cu privire la monitorizarea utilizării telefoanelor, internetului sau email-ului de către angajaţi.

CEDO a susţinut în argumentare că în concordanţă cu jurisprudenţa sa, convorbirile telefonice la locul de muncă fac parte din noţiunea de viaţă privată şi corespondenţă în sensul art. 8(„Orice persoană are dreptul la respectarea vieţii sale private şi de familie, a domiciliului sau a corespondenţei sale”). Ca o consecinţă, şi email-urile expediate de la serviciu şi informaţiile care pot fi obţinute din monitorizarea traficului pe internet, trebuie să fie protejate în mod similar de art. 8. Curtea mai reţine că şi informaţiile referitoare la data sau durata convorbirilor telefonice, cele referitoare la numerele de telefon apelate trebuie luate în considerare atunci când se interpretează art. 8. În concluzie, în speţă, având în vedere că nu exista nicio lege cu privire la monitorizarea datelor cu caracter personal şi că doamna Copland nu a fost informată cu privire la această monitorizare, rezultă că supravegherea s-a făcut fără drept.

Pe final, vă reamintesc, pentru a vă da seama de ce m-am referit la jurisprudenţa CEDO, că toate deciziile CEDO sunt obligatorii pentru instanţele româneşti, iar interpretarea pe care o dă Curtea poate fi folosită în cazuri similare de orice instanţă din tările membre ale Consiliului Europei.