Нарушение на GDPR при достъп на главен счетоводител до компютър и имейл на счетоводител

От данните в запитването може да се предположи, че главният счетоводител се явява пряк ръководител на счетоводителя, т.е. в неговите правомощия е да упражнява работодателска власт. (Все пак трябва да се отбележи, че този извод се базира единствено на посочените длъжностни наименования, но е препоръчително да бъде проверен в съответните вътрешни актове на предприятието и длъжностната характеристика на главния счетоводител. Ако той няма никакви контролни правомощия спрямо служителите, назначени на длъжност „счетоводител“, всичко, казано по-долу, разбира се е неотносимо.)

Ако предположим, че главният счетоводител упражнява контролни правомощия в качеството си на представител на работодателя, отговорът на поставения въпрос е част от по-общата тема за използването на технически средства от работодателя за контрол на спазването на работното време и изпълнението на служебните задължения на работниците и служителите. Без съмнение, при съвременното ниво на развитие на информационните и комуникационни технологии, това е повече от лесно осъществимо – например на служебен компютър може да се инсталира контролиращ софтуер, който позволява на работодателя да следи дистанционно работата на тях „в реално време”, да ограничава достъпа до определени сайтове и пр. От техническа гледна точка филтрирането и пренасочването на входящата и изходяща електронна кореспонденция също е елементарно. Така може да се получи достъп до цялата или част от електронната кореспонденция на работниците и служителите, селектирана например по тема, подател или получател.

Ако работодателят смята, че е необходимо да оптимизира трудовия процес посредством използването на подобни мерки, той следва да извърши задълбочена предварителна оценка на тяхното въздействие и на степента, в която те биха рефлектирали в личната сфера на работниците и служителите. Става дума за деликатния въпрос за намирането на баланса в „пропорционалността” на мерките.

„Пропорционалността” между характера и целта на определена мярка е принцип, въведен в законодателството за защита на личните данни, и именно оттам трябва да започне анализът дали планираните от работодателя контролни способи са допустими или не. В западноевропейската правна литература и практика проследяването на електронната кореспонденция на работниците и служителите и използването на контролиращ софтуер отдавна е ставало обект на изследване и от гледна точка на защитата на личните данни. Приема се, че работодателят трябва да вземе такива технически и организационни мерки, които да обезпечат разделното съхранение и обработване на данни при служебно и лично използване на устройствата. Ако това е технически неосъществимо, той следва или да забрани използването за лични цели на служебните телекомуникационни устройства и имейл адреси, или да третира целия телекомуникационен поток като лично ползване. Като цяло същият извод може да се обоснове и днес, при действието на Общия регламент за защита на данните (Регламент (ЕС) 2016/679) и измененията в българското законодателство за защита на личните данни от последните години.

В подкрепа на изложеното становище е и предизвикалото оживени дискусии Решение на Европейския съд по правата на човека от 12.01.2016 г. (Bărbulescu v. Romania, 61496/08), в което съдът постановява, че е допустимо проследяването на кореспонденция с личен характер в Yahoo Messenger, изпратена от служител в работно време. Решението е правно обвързващо за всички държави, ратифицирали Конвенцията за защита на правата на човека и основните свободи, сред които е и България. Решаващ аргумент в ползва на изразената теза е, че в дружеството е действала изрична забрана за използване на служебните телекомуникационни средства за лични нужди, която служителят виновно е нарушил.

Преценката за допустимостта на използваните технически мерки за контрол трябва да засегне и проблема за отражението им върху честта и достойнството на контролираните работници и служители. Съгласно чл. 127, ал. 2 от КТ работодателят е задължен „да пази достойнството на работника или служителя по време на изпълнение на работата по трудовото правоотношение.” Детайлни законови правила в това отношение липсват, поради което преценката тук винаги ще съдържа елемент на субективизъм. Все пак в някои хипотези отговорите са очевидни: за повечето работници и служители не би било приемливо посещенията им в Интернет непрекъснато да се следят и може да възприемат подобни действия като обида и накърняване на личното им достойнство. Единствено ако предварително е уведомил работниците и служителите за формите на контрол, които възнамерява да използва, и възможните последици при установяване на нарушения, може да се приеме, че работодателят упражнява законосъобразно дисциплинарната си власт.  

По отношение на правните способи за въвеждане на технически мерки за наблюдение и контрол на първо място следва да се посочи, че няма пречка редът за контрол на работното време и пр. да бъде установен по взаимно съгласие на страните. Изричното съгласие на работника или служителя по принцип може да оправдае въвеждането на някои контролни механизми, стига, разбира се, то да е дадено доброволно и информирано и да не става дума за практики, уронващи достойнството на лицето. При това следва да се има предвид, че Общият регламент за защита на данните постави значително по-високи изисквания към валидността на даденото съгласие. Според легалната дефиниция в чл. 4 ОРЗД „съгласие на субекта на данните“ означава всяко свободно изразено, конкретно, информирано и недвусмислено указание за волята на субекта на данните, посредством изявление или ясно потвърждаващо действие, което изразява съгласието му свързаните с него лични данни да бъдат обработени.“ Специално в областта на трудовите отношения следва да се отчита и икономически надмощното положение на работодателя, което може да бъде използвано за оказване на натиск върху работника или служителя. Затова може да се окаже съмнително дали и доколко съгласието е дадено свободно. Ако работникът или служителят се е „съгласил“ с обработването на определени данни под натиск, принуда, заплаха или опасение, че може да загуби работата си, волята му ще е опорочена.  

Възможна и по-често срещана практика е работодателят да наложи едностранно контролни механизми. Наред с разпоредбите на Правилника за вътрешния трудов ред, напоследък набира популярност и издаването на други вътрешни актове, регламентиращи нови форми на работодателски контрол над поведението на персонала в електронна среда (например Етични кодекси). Важно практическо значение имат забраните за използване на служебната електронна поща за лични нужди. Много работодатели се опитват да вменят на работниците и служителите задължение за пълно разделяне между личната и служебна комуникация. Това е начинът, по който може да се оправдае работодателският контрол над служебната кореспонденция.
 
Накратко, на така поставения въпрос трудно може да се даде еднозначен отговор. Възможно е действията на главния счетоводител да са напълно законосъобразни и да са израз на упражняването на работодателската власт. Възможно е те да са непропорционални, надхвърлящи разумното и необходимото и да са вмешателство в личната сфера на работника или служителя. За да се прецени кое от двете твърдения е вярното, трябва да се изследват правомощията на главния счетоводител и вътрешните правила на работодателя.  

Ако засегнатият служител счита, че с действията си въпросният главен счетоводител навлиза по недопустим начин в личното му пространство, той може да подаде жалба или сигнал в Комисията за защита на личните данни. Начините за сезиране на Комисията са описани подробно на следния Интернет-адрес: cpdp.bg/?p=pages&aid=56.

С уважение:

Още за GDPR:

Нормативна рамка

Регламент (ЕС) 2016/679

КТ