W sprawie Bărbulescu przeciwko Rumunii Wielka Izba Europejskiego Trybunału Praw Człowieka (ETPC) orzekła, że Rumunia naruszyła Art. 8 Europejskiej Konwencji o Ochronie Praw Człowieka i nie uwzględniła w należyty sposób równowagi między prawem pracownika do prywatność a prawem pracodawcy do zabezpieczenia swoich interesów.

Sprawa Bărbulescu

Bogdan Bărbulescu pracował w firmie handlowej w Bukareszcie. Na prośbę pracodawcy mężczyzna uruchomił konto na komunikatorze Yahoo Messenger, które miało służyć do kontaktu z klientami - Facebook nie był jeszcze popularny.

To on korzystał z konta. Miał swoje hasło i myślał, że jest jedyną osobą, która je zna i która używa konta. Według danych cytowanych w orzeczeniu Wielkiej Izby, dopiero w 2007 r. Bărbulescu odkrył, że firma monitorowała korespondencję pracowników, kiedy to jedną z pracownic została publicznie upokorzona i zwolniona z pracy, ponieważ używała firmowego telefonu i drukarki do celów osobistych.

Wkrótce potem Bărbulescu został wezwany przez swoich przełożonych i został upomniany za to, że korzysta z Internetu więcej niż jego koledzy. Mężczyzna wyjaśnił, że robi to w celach służbowych.

W odpowiedzi jego przełożeni przedstawili mu pełne wydruki jego prywatnej korespondencji z narzeczoną oraz bratem, którą prowadził za pomocą Yahoo Messengera. Bărbulescu oskarżył firmę o naruszenie prawa do prywatności. Wtedy został zwolniony.

Postępowania krajowe

Bogdan Bărbulescu wniósł skargę do sądów rumuńskich, zarzucając pracodawcy zbytnią ingerencję w prywatność. Ale rumuński system wymiaru sprawiedliwości stwierdził, że zwolnienie mężczyzny było legalne i że jego pracodawca przestrzegał kodeksu pracy i wszystkich innych obowiązujących przepisów, ponieważ poinformował go, że jest monitorowany. Pracodawca ma do tego prawo, jeśli pracownik korzysta ze służbowego komputera i Internetu. Ich zdaniem takie monitorowanie było jednym z narzędzi firmy służącym do ochrony przed atakami cybernetycznymi lub potencjalnymi próbami oszukiwania przez pracowników.

W 2008 r. po wyczerpaniu wszystkich dostępnych możliwości prawnych w Rumunii, Bărbulescu złożył skargę do Europejskiego Trybunału Praw Człowieka, który w pierwszej decyzji z roku 2016 potwierdził w pewnym stopniu decyzje sądów rumuńskich. 5 września 2017 r. Wielka Izba uznała jednak, że aby mieć prawo do takich działań przedsiębiorstwo musi spełniać określone warunki. Jednocześnie, nawet w takich przypadkach, państwo musi podjąć pewne działania, aby zapewnić poszanowanie praw pracowników.

• W artykule opublikowanym przez hotnews.com, prawnicy, którzy reprezentowali Bărbulescu w ETPC, Emeric Domokos-Hancu i Ovidiu Juverdeanu, opisują pewne zasady,których powinni przestrzegać pracodawcy podczas monitorowania swoich pracowników:
• -Ogólna polityka, w postaci wewnętrznego rozporządzenia, które nakłada na pracowników zakaz korzystania z zasobów firmy i informuje pracowników o kontroli korespondencji / lub innych środków komunikacji nie jest wystarczające.
• -Informowanie pracowników o polityce firmy w tej kwestii powinno być dostosowane do charakteru monitorowania, a także zawierać szczegółowe informacje dotyczące co najmniej następujących elementów:

1. Czy monitorowany jest tylko przepływ korespondencji, czy też jej treść;
2. Czy monitorowane są wszystkie rodzaje korespondencjii, czy tylko część z nich;
3. Czy monitorowanie jest ograniczone w czasie i kto jest osobą mającą dostęp do korespondencji;
4. Jakie są konsekwencje monitorowania pracowników;
5. W jaki sposób pracodawca wykorzystuje monitorowane dane.

• -Pracodawca powinien uzasadnić powód monitorowania danych. Ze względu na delikatny charakter korespondencji, Trybunał podkreślił, że monitorowanie treści korespondencji wymaga od pracodawcy podania szczególnych argumentów.

1. Teoretyczny powód, taki jak potrzeba ochrony systemów informatycznych lub ewentualna odpowiedzialność firmy za nielegalne akty prawne, nie mogą, zdaniem Trybunału, być rzeczywistym powodem kontroli.
2. Pracodawcy powinni mieć świadomość, że ogólne zawiadomienie o monitorowaniu, w tym w wewnętrznym rozporządzeniu, niekoniecznie musi spełniać warunek posiadania rzeczywistego i szczególnego powodu monitorowania. Tak więc pracodawcy mogą być zobowiązani do wykazania rzeczywistego powodu i spełnienia wymogu uprzedniego powiadomienia pracowników przed rozpoczęciem monitorowania ich korespondencji.

• -Pracodawca musi ocenić na podstawie konkretnych okoliczności danej sprawy, czy planowany cel można osiągnąć bez faktycznego dostępu do pełnej treści korespondencji pracowników.

W komentarzu do wyroku, Bogdan Manolea, prawnik specjalizujący się w prawach cyfrowych, podkreślił na swoim blogu rolę państwa w takich przypadkach:

Po pierwsze, państwa (w tym Rumunia) mają obowiązek zapewnić, że pracodawca nie może nadzorować pracownika tylko dlatego, że chce to zrobić, a do tego nie są zapewnione odpowiednie zabezpieczenia przed nadużyciem. Jednocześnie istnieje szeroki zakres uznania dla państw co do sposobu, w jaki mogą wypełnić taki obowiązek - od konkretnych ram prawnych lub właściwego orzecznictwa sądów (w tym w dziedzinie prawa pracy - zob. akapity 113-120 wyroku w celu uzyskania szczegółowych informacji).

Po drugie, w akapicie 121, Trybunał podał sześć zasad, których należy przestrzegać podczas monitorowania pracowników:

1. Wcześniejsze powiadomienie pracownika o charakterze monitorowania i o harmonogramie wdrażania środków;
2. Zapewnienie odpowiedniego monitorowania i rozsądnego poziomu ingerencji w prywatność pracownika, w tym informowanie o szczegółach dotyczących przesyłania danych itp.
3. Jeśli potrzebny jest dostęp do treści korespondencji, należy podać uzasadniony powód, dla którego taki środek jest konieczny;
4. Należy rozważyć możliwość wdrożenia mniej inwazyjnego systemu monitorowania;
5. Należy podać konsekwencje monitorowania i zapewnić, że zebrane dane nie zostały wykorzystane do innych celów;
6. Trzeba zapewnić wystarczające zabezpieczenia, zwłaszcza w związku z dostępem do treści korespondencji.

Bogdan Manolea twierdzi, że sądy powinny w odpowiedni sposób dostosować się do decyzji Trybunału: "Biorąc pod uwagę fakt, że pod względem elektronicznego nadzoru (nie tylko pracowników) rynek jest pełen możliwości, a większość zainteresowanych (producenci, sprzedający lub konsultanci) "zapominają" wspomnieć, że możliwości te mogą być wykorzystane tylko w pewnych warunkach prawnych, ważne, aby sądy właściwie zastosowały się do decyzji ETPC i wyznaczyły właściwe organy w celu dostosowania się do unijnej ustawy o ochronie danych osobowych - GDPR, w celu stworzenia systemu prawnego, który jest funkcjonalny i nie istnieje tylko na papierze".