Legislaţie - PC Magazine Romania, Iunie 2004

Internetul şi viaţa privată

Răzvan Florin Stoicescu - Linklaters, Miculiţi & Asociaţii SCPA, Bucureşti

Viaţa privată şi raportul ei cu politicile privind Internetul determină numeroase reverberaţii la nivel legislativ. Acestea se manifestă prin crearea sau abilitarea unor instituţii specifice să controleze raportul între politicile privind Internetul şi e-mailurile, precum şi prin implementarea de reglementări legale care stabilesc principii generale şi sancţiuni pentru încălcarea acestor drepturi.

Sub aspectul dreptului românesc problema este implementată la nivel general prin Convenţia Europeană a Drepturilor Omului, Constituţia României în Articolele 26(1) - Viaţa intimă, familială şi privată, 28 - Secretul Corespondenţei şi 30 - Libertatea de exprimare, Codul Penal în Articolul 195 - Violarea secretului corespondenţei şi, în mod detaliat de numeroase reglementări speciale printre care enumerăm Legea nr. 161 din 2003, Titlul III privind prevenirea şi combaterea criminalităţii informatice, Legea nr. 677 din 2001 privind protecţia datelor personale cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date, Legea nr. 676 din 2001 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul telecomunicaţiilor, Ordinul nr. 54 din 2002 privind stabilirea unor situaţii în care nu este necesară notificarea prelucrării unor date cu caracter personal sau Legea nr. 64 din 2004 pentru ratificarea Convenţiei Consiliului Europei privind criminalitatea informatică, adoptată la Budapesta la 23 noiembrie 2001.

Aceste reglementări protejează utilizatorii împotriva (i) accesului neautorizat în sistemele informatice, (ii) interceptarea de date, sau (iii) prelucrarea datelor cu caracter personal. Mai mult, convenţia internaţională ratificată de România în cursul lunii aprilie creează premisele incriminării penale cel puţin a interceptării datelor informatice, afectării integrităţii datelor, afectării integrităţii sistemelor informatice implementând numeroase mijloace procedurale în acest sens.

Per ansamblu, aşadar, este de reţinut că în România încălcarea dispoziţiilor legale de mai sus este preponderent încadrată ca infracţiune.

Pentru o mai bună exemplificare a raportului dintre politicile privind Internetul şi e-mailurile în raporturile de muncă în raport cu viaţa privată, vom lua în discuţie următoarea situaţie. Exemplul este frecvent întâlnit în practică şi pune în lumină câteva probleme importante.

Un angajator pune la dispoziţia angajaţilor săi servicii de Internet şi e-mail. Activitatea angajatorului necesită accesul la Internet, acces nereglementat la nivelul companiei. În câteva luni, angajatorul primeşte din partea ISP-ului său o factură prezentând costuri deosebit de mari datorate unui trafic ridicat pe Internet. Întrucât angajatorul consideră costurile nefondate solicită administratorului său de reţea un raport privind traficul pe Internet şi distribuirea acestuia pe fiecare angajat în parte, după conturile acestora. În urma cercetării, a reieşit că jumătate din traficul pe Internet era constituit din accesări ale unor site-uri cu caracter pornografic şi respectiv divertisment, mp3-uri şi filme. Distribuţia pe angajaţi a traficului a arătat de asemenea că, numai doi dintre angajaţi accesaseră în mod repetat categoriile de site-uri mai sus menţionate.

În acelaşi context, angajatorul dispune pentru viitor monitorizarea constantă a accesului la Internet şi prelucrarea prin sondaj a corespondenţei electronice a angajaţilor săi.

Sub acest aspect, rezultatele raportului arată că doar unul din trei mailuri trimise de pe calculatoarele companiei este în legătură cu activitatea acesteia, celelalte două având caracter personal.

Angajatorul hotărăşte, de asemenea, desfacerea contractului de muncă al celor doi angajaţi ai săi, arătând ca temei al deciziei de desfacere a contractului de muncă, drept cercetare prealabilă, rezultatele raportului administratorului de reţea.

Cei doi angajaţi se apără arătând că raportul a fost obţinut în mod ilegal, întrucât operaţiunile desfăşurate au încălcat drepturile lor privind viaţa intimă, libertatea corespondenţei, cât şi secretul corespondenţei, în condiţiile în care nu existau reglementări speciale la nivelul companiei sub aspectul controlului şi al accesului la Internet şi e-mail.

Situaţia de mai sus de fapt, extrem de controversată în practica judiciară europeană, pune în lumină drepturile angajatorului cu privire la gestionarea afacerii sale cu drepturile angajaţilor. Sub acest aspect, drepturile privind viaţa intimă, libertatea corespondenţei, secretul corespondenţei fac parte dintr-o clasă superioară, şi au prioritate în faţa drepturilor angajatorului. Nu mai puţin adevărat este însă că exercitarea acestora trebuie să nu aducă atingere nici prerogativei angajatorului de a desfăşura o activitate comercială sănătoasă.

Fără a încerca să acoperim exhaustiv soluţia acestei speţe arătăm următoarele.

Referitor la angajaţi, este incontestabil că aceştia au desfăşurat activităţi care nu se încadrează în fişa postului pe care îl deţin. Angajatul trebuie să-şi îndeplinească atribuţiile sale cu bună credinţă şi mai mult, cu respectarea ordinelor şi instrucţiunilor angajatorului sau a regulamentului de ordine interioară. Sub acest aspect, această prerogativă de control sugerează dreptul angajatorului de a impune anumite restricţii asupra modului în care sunt întrebuinţate resursele Internet sau serviciile de e-mail în companie.

Angajatorul care desfăşoară un astfel de control trebuie să urmeze anumite principii. Acestea sunt (1) scopul controlului - necesitatea justificării măsurii, (2) proporţionalitatea amplitudinii controlului în raport cu scopul propus şi necesitatea acestuia, (3) legalitatea măsurii şi nu în ultimul rând, (4) nivelul de intimitate permis angajatului la locul de muncă.

Numai în măsura în care angajatorul respectă aceste principii, se pot justifica măsurile luate împotriva angajaţilor săi întrucât, în ciuda prerogativelor de control ale angajatorilor nu se poate considera că în

cursul activităţii sale la locul de muncă, angajatul renunţă la caracterul privat al vieţii sale.

Cu privire la scopul controlului, este recomandabil ca acesta să fie justificat ca urmărind: (i) protejarea companiei şi a sistemelor sale informatice (mai ales în lumina atacurilor diferiţilor viruşi de astăzi), (ii) încurajarea unui comportament responsabil cu privire la Internet şi e-mail, (iii) menţinerea unui spaţiu de lucru liber de hărţuire prin mijloace electronice sau comportamente negative. O astfel de motivare reprezintă o justificare rezonabilă cu privire la impunerea unei măsuri de control şi necesitatea acesteia.

Cu privire la proporţionalitate, aceasta reprezintă în practică una dintre problemele cele mai spinoase. În principiu, la nivel european cu privire la Internet se arată că în măsura în care angajatorul poate realiza o legătură între adresele vizitate de către angajat şi angajatul respectiv, ceea ce se colectează sunt date personale. În România, în lumina legislaţiei menţionate în preambulul articolului nostru, aceeaşi interpretare este posibilă. Angajatorul ar avea aşadar posibilitatea: (i) folosirii de statistici privind accesul la site-uri Internet, cu scop statistic fără ca accesul să fie monitorizat la nivel de utilizator sau (ii) elaborarea de rapoarte cu privire la timpii de conectare la diferite site-uri, întotdeauna însă fără a individualiza angajaţii. Dacă totuşi controlul sistematic la nivel de angajat este necesar, angajatorul va trebui să respecte legislaţia aplicabilă în materia protecţiei datelor personale, ceea ce implică anumite măsuri de securitate cu privire la accesul la rapoartele de monitorizare, modul de colectare a datelor şi notificarea Avocatului Poporului.

Cu privire la e-mail, se arată, de asemenea la nivelul Comisiei Europene, că monitorizarea conţinutului E-malurilor (deci a textului propriu-zis al mesajului) este o măsură excesivă, sugerându-se ca măsuri alternative elaborarea de filtre prin care angajatorul ar putea supune traficul unui control pe diferite criterii, cum ar fi mărimea e-mail-urilor sau adresele de destinaţie. Foarte important este că monitorizarea vizează doar mesajele trimise de către angajaţi nu şi cele recepţionate de către aceştia şi ai căror autori aceştia nu sunt. Astfel acest din urmă tip de mesaje pot fi supuse unui control riguros şi mai strict, angajatorul fiind ţinut să protejeze numai datele personale ale angajaţilor săi.

Aşadar, în măsura în care regulile privind colectarea statistică de informaţii respectiv cele privind legislaţia privind protecţia datelor personale sunt respectate, cu greu un angajat ar putea introduce o acţiune împotriva angajatorului privind încălcarea vieţii sale private.

Legalitatea, ca principiu, impune din partea angajatorului stabilirea unor reguli care să înlăture arbitralul în procedura de control. Din acest punct de vedere un angajator diligent trebuie să să comunice angajaţilor săi cel puţin următoarele: (i) dacă este permis accesul la Internet şi e-mail, (ii) limita până la care se extinde monitorizarea Internetului şi e-mail-ului, (iii) dacă datele sunt stocate şi / sau criptate, şi (iv) în ce măsură pot fi luate decizii disciplinare de către angajator pe baza rezultatelor monitorizării.

Al patrulea principiu, nivelul de intimitate, trebuie la rândul său foarte clar determinat. Din această cauză, este recomandabilă introducerea a două tipuri de clauze în regulamentul de ordine interioară: (i) una care să informeze angajaţii cu privire la gradul redus de intimitate care le este acordat prin politica de Internet şi e-mail a firmei şi cea de-a doua, (ii) care să-i oblige pe aceştia să marcheze mesajele personale cu anumite flag-uri specific determinate, ca de exemplu "private and confidential". În acest mod, vor fi excluse din monitorizare mail-urile personale şi se va şi putea aprecia foarte clar ponderea mesajelor personale în totalul mesajelor. O astfel de abordare exclude şi o potenţială pretenţie a angajatului cu privire la încălcarea vieţii private întrucât acesta are la îndemână mijlocul de a exclude mesajul de la control prin marcarea sa ca fiind privat.

Ca o concluzie, este recomandabil ca toate aceste chestiuni să fie tratate cu atenţie, prin implementare la nivelul regulamentului de ordine interioară, mai ales întrucât încălcarea reglementărilor în materie se sancţionează atât contravenţional cu amenzi până la 500.000.000 de lei, cât şi penal.

În cazul nostru, angajatorul nu a îndeplinit nici obligaţiile de notificare şi nu a stabilit o politică privind accesul la Internet şi serviciile de e-mail, aflându-se aşadar într-o poziţie nefavorabilă - cu puţine şanse de câştig -, putând fi şi subiectul unor pretenţii cu privire la încălcarea dreptului la viaţă privată.