Početna Blog Talijanska agencija za zaštitu podataka izrekla je novčanu kaznu u vezi s obradom metapodataka zaposlenika

Talijanska agencija za zaštitu podataka izrekla je novčanu kaznu u vezi s obradom metapodataka zaposlenika

Svi članci
24.06.2025.

U odluci koja predstavlja presedan, 29. travnja 2025. talijansko tijelo za zaštitu podataka ("Garante della privacy") izdalo je sankciju prema Općoj uredbi o zaštiti podataka (GDPR) za nezakonito pohranjivanje takozvanih "metapodataka" o e-porukama zaposlenika i aktivnostima surfanja webom, prvi put primjenjujući Smjernice objavljene u lipnju 2024. godine.

Kao dio inspekcija provedenih radi procjene usklađenosti obrade podataka koja se provodi na radnom mjestu s pravilima o zaštiti osobnih podataka, Garante je utvrdio da je jedna od organizacija čuvala metapodatke i zapise 90, odnosno 365 dana, što je razdoblje znatno dulje od onog predviđenog njihovim Smjernicama.

Nadalje, organizacija je čuvala neanonimne zapise koji se odnose na pokušaje pristupa svakog zaposlenika web stranicama navedenima na crnoj listi.

Kao rezultat toga, Garante je pokrenuo postupak protiv te organizacije s obzirom na to da je obrada predmetnih podataka bila u suprotnosti s: i) sektorskim propisima o daljinskom upravljanju u vezi s pohranom metapodataka generiranih aktivnostima zaposlenika u vezi s korištenjem usluge e-pošte i pregledavanjem interneta; ii) uvjetima utvrđenim sektorskim propisima u vezi s korištenjem metapodataka prikupljenih u druge svrhe povezane s upravljanjem radnim odnosom; i iii) razdobljima pohrane zapisa koji se odnose na pregledavanje interneta, kao i podacima koji se odnose na zahtjeve za tehničku pomoć.

Nadzorno tijelo je prethodno podsjetilo da su metapodaci e-pošte potkrijepljeni jamstvima povjerljivosti, koja su također ustavno zaštićena, a namijenjena su osiguravanju zaštite dostojanstva osobe i punog razvoja njezine/njezine osobnosti u društvenim okruženjima, tako da čak i na poslu postoji legitimno očekivanje povjerljivosti u pogledu korespondencije i, slično, elemenata koji se mogu zaključiti iz vanjskih podataka, koji definiraju vremenske profile i ponašanje osobe, kao i njezine kvalitativne i kvantitativne aspekte, također u pogledu primatelja i učestalosti kontakta (koji su, pak, podložni agregaciji, obradi i kontroli).

Iako je organizacija tvrdila da zaposlenik koristi e-poruke za rad, takav pojam u smislu propisa koji uređuju pitanja radnih odnosa može uključivati ​​samo usluge, softver ili aplikacije koje su strogo funkcionalne i potrebne za izvršavanje radnih odnosa. Međutim, navedeno nije slučaj kada se metapodaci e-pošte prikupljaju i pohranjuju, na preventivni i generalizirani način, tijekom duljeg razdoblja putem računalnih programa i usluga za upravljanje e-porukama s ciljem koji nije vezan uz izvršavanje radnih obveza ili se radi o prekomjernim i invazivnim metodama u odnosu na radnika. Takve se, invazivne i prekomjerne obrade, zapravo, provode, za potrebe poslodavca, automatski i neovisno o percepciji i volji zaposlenika. Nadalje, metapodaci ostaju na isključivom raspolaganju poslodavcu i, u njegovo/njezino ime, pružatelju usluga, dokumentirajući promet čak i nakon mogućeg brisanja poruke od strane radnika koji umjesto toga zadržava dostupnost poruka koje, kao pošiljatelj ili primatelj, razmjenjuje unutar svog sandučića koji mu je dodijelio poslodavac, s posljedičnim rizikom neizravne daljinske kontrole aktivnosti radnika.

Dopušteno je prikupljanje i pohranjivanje samo onih metapodataka potrebnih za osiguranje rada infrastrukture poslovnih sustava e-pošte i ispunjavanje najvažnijih jamstava računalne sigurnosti, sve na temelju tehničkih procjena i u skladu s načelom odgovornosti i to u razdoblju ograničenom na nekoliko dana, a ni u kojem slučaju ne duljem od 21 dan, osim ako voditelj obrade na odgovarajući način ne dokaže da su stvarno ispunjeni posebni uvjeti koji takvo produljenje čine potrebnim zbog specifičnosti njegove/njezine tehničke i organizacijske stvarnosti.

Suprotno navedenom, generalno prikupljanje i pohranjivanje metapodataka e-pošte, dulje vrijeme, uz prisutnost zahtjeva koji se u svakom slučaju mogu pripisati sigurnosti i zaštiti imovine poslodavca, čini nužnim korištenje jamstava budući da može uključivati ​​neizravnu daljinsku kontrolu aktivnosti radnika.

Budući da zaposlenici ostaju prepoznatljivi i postoji jasna veza između aktivnosti, zaposlenika i njihove specifične radne stanice, takva obrada omogućuje rekonstrukciju njihovih radnji putem tehnoloških sustava.

U tim slučajevima, poslodavac mora poštivati ​​postupovne mjere zaštite utvrđene i u propisima kojima se uređuje zaštita odnosno prava radnika. Ove mjere zaštite su zakonski zahtjev za zakonitu obradu predmetnih podataka.

Uzimajući sve to u obzir, nadzorno tijelo je odlučilo, s jedne strane, sankcionirati organizaciju novčanom kaznom od 50.000 eura, a s druge strane, naložiti joj, između ostalog, da ograniči pohranu zapisa na 90 dana, a zatim da prijeđe na anonimizaciju, te minimizira i šifrira metapodatke e-pošte, ograniči pristup metapodacima samo na ovlašteno osoblje te ažurira interne politike i dokumentaciju o privatnosti.

U svjetlu nalaza Garantea kao nadzornog tijela, tvrtke se pozivaju da pažljivo preispitaju svoje prakse upravljanja metapodacima i mrežnim zapisnicima. Čak i prije odluke, bila je potrebna visoka razina opreza pri rukovanju e-poštom, što je zahtijevalo, na primjer, transparentnost provedenih provjera i pravovremeno brisanje poštanskih sandučića otpuštenih zaposlenika.

Nedavna sankcija uvodi dodatnu razinu opreza, proširujući obvezu usklađenosti i na takozvane „vanjske“ podatke, poput metapodataka i zapisnika, što može dovesti do neizravnog praćenja radne aktivnosti.

U tom smislu, metapodaci e-pošte obično se ne bi trebali čuvati dulje od 21 dan, dok bi zapisnici pregledavanja trebali biti ograničeni na 90 dana, nakon čega slijedi anonimizacija.

Također je ključno ažurirati obavijesti o privatnosti, ograničiti pristup podacima, šifrirati podatke i usvojiti dosljedne interne politike. Samo strukturiran i usklađen pristup može jamčiti zaštitu prava radnika i korporativne usklađenosti te izbjeći značajne posljedice za organizaciju, uključujući i u pogledu sankcija nadležnih tijela, kao što je pokazano ovim slučajem.

Imate pitanja? Kontaktirajte nas!
Odgovaramo u najbržem mogućem roku.

Newsletter
Prijavi se i ostvari eksluzivan pristup novostima iz svijeta GDPR-a.
Zatvori