Dreptul de a se deconecta sau de a fi inaccesibil pentru angajator poate fi considerat, în mod esențial, un drept la protecția datelor. Parlamentul European a cerut o directivă în acest domeniu.

 
Parlamentul European (PE) a adoptat o rezoluție prin care îndeamnă Comisia Europeană să pregătească o directivă privind așa-numitul „drept de a se deconecta”. Franța, Italia, Spania și, recent, Belgia au aprobat acte legislative în acest sens.

„Dreptul de a se deconecta se referă la dreptul lucrătorilor de a nu desfășura activități profesionale sau de a nu efectua comunicări în afara timpului de lucru prin intermediul unor instrumente digitale, cum ar fi apeluri telefonice, e-mailuri sau alte mesaje” și „ar trebui să îi îndreptățească pe lucrători să dezactiveze instrumentele legate de muncă și să nu dea curs cererilor angajatorilor în afara timpului de lucru, fără a risca nicio consecință negativă, cum ar fi concedierea sau alte represalii” (Rezoluția Parlamentului European din 21 ianuarie 2021 (2019/2181(INL)), accesat la 28 feb. 2022, conținând recomandări adresate Comisiei privind dreptul de a se deconecta).

Dreptul de a se deconecta, de „a se decupla” sau de a fi inaccesibil poate fi considerat, în mod esențial, un drept la protecția datelor, care ia naștere în contextul derulării raporturilor de muncă. Rezoluția PE privind dreptul la deconectare subliniază faptul că „utilizarea pe scară tot mai largă a instrumentelor digitale în scopuri profesionale a dus la apariția unei culturi de a fi „conectat în permanenț㔄mereu online” sau „mereu de serviciu”, care poate influența negativ drepturile fundamentale ale lucrătorilor și condițiile de muncă echitabile” (Ibidem.).

PE subliniază că necesitatea adoptării unei directive europene și a transpunerii ulterioare a acesteia în legislațiile naționale din întreaga UE este deosebit de importantă în contextul generat de criza COVID-19. Deoarece pandemia a produs o creștere semnificativă a telemuncii, „ceea ce amplifică stresul profesional și estompează granița dintre muncă și viața privată, a devenit și mai urgent să se garanteze că lucrătorii își pot exercita dreptul de a se deconecta” (Ibidem.).

Pilonul european al drepturilor sociale (PDF) stipulează că lucrătorii au dreptul la protecția datelor personale în contextul desfășurării raporturilor de muncă (principiul 10) și la un echilibru echitabil între viața profesională și cea personală (principiul 9).

Belgia s-a alăturat recent numărului aflat în creștere lentă de țări care au adoptat acte legislative privind dreptul la deconectare, deși prevederile vizează o categorie mică de angajați. Începând cu 1 februarie, funcționarii publici federali din Belgia nu mai pot fi contactați în afara programului de lucru, cu excepția situațiilor de urgență (Maithe Chini, "Right to disconnect": boss may no longer call employees after hours, în The Brussels Times, accesat la 28 februarie 2022.).

Însă obiectivul directivei propuse este de a aplica pe scară largă dreptul la deconectare „tuturor lucrătorilor și tuturor sectoarelor, atât din sectorul public, cât și din cel privat”, indiferent de forma lor de angajare, și de a face ca acest drept să fie aplicat efectiv în întreaga UE (PE, op. cit.).

Utilizarea dispozitivelor inteligente și a aplicațiilor pentru comunicații electronice legate de muncă, atunci când se lucrează de acasă sau de la distanță, poate ridica multiple probleme legate de confidențialitate, ștergând linia foarte subțire dintre spațiul profesional și cel privat.

Angajatorul sau furnizorul de servicii de comunicații electronice ar putea avea acces la date foarte sensibile sau chiar la categorii speciale de date cu caracter personal, cum ar fi convingerile religioase, originea rasială sau etnică, datele privind sănătatea sau opiniile politice, dezvăluite de angajați sau chiar de membri ai familiilor acestora atunci când folosesc aceleași dispozitive sau aplicații.

În timpul crizei COVID-19, multe companii au adoptat munca la distanță ca strategie de continuitate a afacerii. În Europa, angajatorii se bazează în mare măsură pe tehnologia furnizată de giganții americani din domeniul tehnologiei, pentru comunicare, stocare în cloud sau analiză de date, ceea ce implică transferuri internaționale de date către SUA, o țară care nu este considerată de către Comisia Europeană ca fiind adecvată pentru transmiterea de date personale.

După decizia Schrems II a Curții de Justiție a Uniunii Europene din 2021, transferurile internaționale de date din UE către SUA au devenit foarte problematice, deoarece practic nu există nicio măsură tehnică sau organizatorică care să împiedice în mod eficient accesul agențiilor de supraveghere americane la datele personale ale cetățenilor europeni.

„Conexiuni de lucru”... mai complicate

Angajații pot rămâne de asemenea „conectați” la locul de muncă și în timp ce folosesc, pentru chestiuni personale sau în afara timpului de lucru, mașinile de serviciu monitorizate de un dispozitiv GPS. GPS-ul poate colecta date atât despre vehicul, cât și despre șofer, inclusiv despre comportamentul la volan al angajatului. Chiar și în timpul programului de lucru, o deplasare a angajatului la o clinică poate dezvălui angajatorului date medicale sensibile (a se vedea Articolul 29 Grupul de Lucru pentru Protecția Datelor, Avizul nr. 2/2017 privind prelucrarea datelor la locul de muncă, p.19 sq.).

Astfel, trebuie să existe posibilitatea ca angajatul să oprească în siguranță dispozitivul GPS atunci când desfășoară activități private sau în timpul liber. De asemenea, ar putea fi puse în aplicare și alte măsuri pentru a spori confidențialitatea și a evita monitorizarea continuă, cum ar fi „ascunderea” față de angajator a datelor de localizare în interiorul unui perimetru, făcându-le vizibile doar atunci când dispozitivul părăsește zona desemnată (A se vedea ibidem, p. 20.).

Atunci când se utilizează dispozitive personale pentru muncă, în cadrul așa-numitei politici BYOD (Bring Your Own Device), angajatorul/furnizorul de servicii ar putea, de asemenea, să prelucreze date private privind angajații și membrii familiilor acestora care utilizează aceleași dispozitive, inclusiv despre copii.

Soluțiile de securitate și de colaborare, cum ar fi EMM (Enterprise Mobility Management), au ca obiectiv să separe și să protejeze datele corporative pe dispozitivele personale utilizate pentru muncă, dar trebuie să se țină seama de faptul că unele dintre aceste servicii (de exemplu, Google Workspace/Workspace for Education) pot prelucra date cu caracter personal pentru urmărire și profilare în scopuri publicitare, ceea ce nu are un temei juridic atunci când se realizează în contextul desfășurării relațiilor de muncă.

În plus, acest lucru poate afecta membrii familiei angajatului, conducând la urmărirea și crearea de profiluri sau chiar la afișarea de reclame bazate pe profilul unui anumit utilizator altor utilizatori identificați în mod greșit. De asemenea, locația dispozitivului sau alte metadate pot fi dezvăluite de către software-ul EMM angajatorului, furnizorului de servicii și terților, iar acest fapt ar trebui analizat cu atenție din perspectiva protecției datelor.

Evaluarea furnizorilor de servicii în contextul desfășurării raporturilor de muncă

Angajatorii ar trebui să verifice cu atenție furnizorii de tehnologie a informației și comunicațiilor (TIC) care oferă servicii prin intermediul cărora se prelucrează datele cu caracter personal ale angajaților lor și să efectueze evaluări ale impactului asupra protecției datelor (Data Protection Impact Assessments - DPIA), dacă este cazul. În plus, angajatorul ar trebui să includă în contract dispoziții adecvate privind protecția datelor.

În mod cert, trebuie să se țină seama de faptul că angajatorii se pot baza, de obicei, pe contract, pe obligații legale și pe interese legitime ca temeiuri legale pentru prelucrarea datelor cu caracter personal ale angajaților lor, și rareori pe consimțământ.

Este preferabil ca procesul de evaluare să fie efectuat de către un profesionist în domeniul protecției confidențialității pentru a identifica numeroasele capcane care se pot ascunde în mod inextricabil în interiorul și în afara contractelor, termenilor și condițiilor, politicilor de confidențialitate, acordurilor de protecție a datelor sau acordurilor de confidențialitate. Monitorizarea conținutului comunicațiilor și a metadatelor sau urmărirea online prezintă riscuri serioase pentru viața privată.

Practicile de confidențialitate ale furnizorului ar trebui evaluate cu atenție pentru a evita prelucrarea invazivă a datelor personale ale angajaților, cum ar fi urmărirea și crearea de profiluri în scopuri publicitare, în timpul programului de lucru sau în afara acestuia. În contextul relațiilor de muncă, nu există un temei juridic pentru o astfel de prelucrare, prin urmare angajatorul trebuie să fie atent în această privință chiar și în cazurile în care un astfel de furnizor ar putea fi considerat operator independent.

În plus, urmărirea și monitorizarea se pot extinde chiar și asupra membrilor familiei angajatului, atunci când aceștia folosesc dispozitivele și aplicațiile utilizate pentru muncă sau „de-a lungul” mai multor dispozitive.

De asemenea, o atenție deosebită trebuie acordată transferurilor internaționale de date cu caracter personal către țări terțe, în special către furnizorii din SUA. Deși giganți tehnologici precum Google sau Amazon pot oferi servicii de top și prețuri imbatabile, utilizarea lor în UE încalcă normele europene privind transferurile internaționale de date. Cea mai sigură alternativă, dar cu siguranță nu cea mai ieftină, este contractarea unor furnizori de servicii cu sediul în Uniunea Europeană/Spațiul Economic European, care prelucrează datele cu caracter personal la nivel local.

Transparență și instruire adecvată a angajaților

Angajații ar trebui să primească în mod corespunzător informații în scris cu privire la dreptul de a se deconecta și să urmeze în mod complementar o formare adecvată în domeniul securității informațiilor și al protecției datelor cu caracter personal, cu privire în special la telemuncă și la dreptul de a se deconecta.

Potrivit Rezoluției PE, „angajatorii ar trebui să le ofere lucrătorilor informații suficiente, inclusiv o declarație scrisă care să prevadă dreptul lucrătorilor de a se deconecta, și anume cel puțin modalitățile practice de deconectare a instrumentelor digitale folosite în scopuri profesionale, inclusiv a oricăror instrumente de monitorizare sau supraveghere legate de muncă” (PE, op. cit.).

PE susține că modalitățile practice de punere în aplicare de către angajator a dreptului de a se deconecta ar trebui să fie „convenite de către partenerii sociali prin intermediul unui acord colectiv sau la nivelul întreprinderii angajatorului” (Ibidem.).

Instruirea angajaților este o măsură organizatorică sine qua non care trebuie luată de către angajator pentru a pune în aplicare în mod corespunzător dreptul de a se deconecta și este, de asemenea, o obligație prevăzută în directiva avută în vedere de PE.

Formarea la locul de muncă ar trebui să abordeze aspecte practice, cum ar fi modul în care se controlează/se deconectează în mod eficient locația, camera și microfonul în timpul lucrului sau în timpul liber, sistemul utilizat pentru măsurarea timpului de lucru sau faptul că superiorii și angajații din cadrul aceleiași organizații nu ar trebui să contacteze alți colegi în timpul liber în scopuri legate de muncă, cu excepția cazului în care există o urgență.

Angajații al căror drept de a se deconecta a fost încălcat ar trebui să aibă dreptul la soluționarea litigiilor și la căi de atac pentru a asigura respectarea dispozițiilor directivei propuse. Rezoluția PE precizează, de asemenea, că încălcarea dispozițiilor naționale adoptate în cadrul domeniului de aplicare al directivei ar trebui să aibă drept consecință amenzi disuasive pentru angajatori.

(Traducere automată din limba engleză)

Nota autorului: Materialul are un caracter informativ și general și nu constituie consultanță în materie de protecția datelor personale, securitate fizică sau a informațiilor. Pentru situații particulare trebuie să obțineți consultanță de specialitate.