BARBULESCU v. ROMANIA

Cererea nr. 61496/08 Bogdan-Mihai BĂRBULESCU depusă la 15 decembrie 2008 împotriva României DECLARAREA FACTELOR Reclamantul, dl Bogdan-Mihai Bărbulescu, este un național român, născut în 1979 și trăiește în București. Circumstanțele cazului Faptele cazului, astfel cum a prezentat reclamantul, pot fi rezumate după cum urmează. De la 1 august 2004 la 6 august 2007, reclamantul a fost angajat de o societate privată („angajatorul”) ca inginer responsabil cu vânzările. El a creat un cont Yahoo Messenger cu scopul de a răspunde la cererea clienților. La 13 iulie 2007, angajatorul a informat reclamantul că comunicațiile Yahoo Messenger sale au fost monitorizate între 5 și 13 iulie 2007 și că el a folosit conexiunea la internet a companiei pentru scopuri personale, în contrast cu reglementările interne. Reclamantul a răspuns în scris că a folosit Yahoo Messenger doar pentru scopuri profesionale. Când a prezentat un 45 paginile de transcriere a comunicațiilor sale personale Yahoo, reclamantul a notificat angajatorului său că, prin încălcarea corespondenței sale, acestea au fost responsabile în temeiul codului penal. La 1 august 2007, angajatorul a încheiat contractul de muncă al reclamantului pentru încălcarea reglementărilor interne ale societății care prevedeau, printre altele, că: „Este strict interzis să deranjeze ordinea și disciplina în cadrul sediilor companiei și mai ales [...] să folosească calculatoarele, copiatoarele, telefoanele, telexul și fax-ul pentru scopuri personale.” Reclamantul a contestat decizia angajatorului său în fața Curții Județenești din București. El s-a plâns că această decizie a fost rezultatul unei încălcări a dreptului său la corespondență protejat de România Constituția și Codul Penal. Într-o hotărâre din 7 decembrie 2007, instanța județului și-a respins plângerea din cauza faptului că angajatorul a respectat procedurile de concediere prevăzute de Codul Muncii. A considerat că interceptarea comunicațiilor sale este singura modalitate în care angajatorul poate verifica respectarea reglementărilor interne. Tribunalul a remarcat că reclamantul a fost informat în mod corespunzător cu aceste reglementări și a concluzionat că: „Internetul la locul de muncă trebuie să rămână un instrument la dispoziția angajatului. Acesta a fost acordat de angajator pentru o utilizare profesională și este nediscutat că angajatorul, în temeiul dreptului său de a controla activitatea angajaților, are prerogativa de a menține utilizarea personală a internetului sub supraveghere. Unele dintre motivele care fac necesară controlul angajatorului sunt posibilitatea ca, prin utilizarea serviciilor de Internet, angajații să poată afecta sistemele informatice ale societății, posibilitatea de a implica responsabilitatea companiei pentru activitățile ilicite în spațiul virtual sau posibilitatea de a dezvălui secretele comerciale ale societății.” Reclamantul a apelat împotriva acestei hotărâri. El a afirmat că e Posturile au fost, de asemenea, protejate de art. 8 din Convenție în ceea ce privește „vieța privată” și „correspondența”. El s-a plâns, de asemenea, că instanța nu i-a permis să cheme martori pentru a dovedi că angajatorul nu a suferit nici o prejudecată ca urmare a acțiunilor sale. Într-o decizie finală din 17 iunie 2008, Curtea a respins apelul său și a susținut hotărârea renduă de județ În conformitate cu Directiva 95/46/CE a UE, Curtea de Apel a decis că comportamentul angajatorului era rezonabil și că monitorizarea comunicărilor reclamantului era singura modalitate de a stabili încălcarea disciplinară. În ceea ce privește drepturile sale de apărare, Curtea de Apel a respins argumentele reclamantului din cauza faptului că dovezile deja adăugate înainte de aceasta erau suficiente. Acesta a susținut că încălcarea serioasă a reglementărilor interne a justificat concedierea reclamantului. Legea internă relevantă Constituția română garantează dreptul la protecția vieții intime, private și familiale (art. 26), precum și secretul corespondenței (art. 28). art. 195 din Codul penal prevede că: „Celui care deschide ilegal corespondența altcuiva sau interceptează conversația sau comunicarea altcuiva prin telefon, prin telegraf sau prin orice alt mijloc de transmitere la distanță lungă este responsabil pentru închisoarea între șase luni și trei ani.” Codul muncii în vigoare la momentul evenimentelor prevăzute la articolul (i) că angajatorul a fost obligat să garanteze confidențialitatea datelor cu caracter personal ale angajaților. Legea nr. 677/2001 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a datelor cu caracter personal transpun dispozițiile Directivei 95/46/CE a UE (a se vedea mai jos). Acesta definește „datele personale” drept „ orice date legate de un individ identificat sau identificabil” (articolul a) Aceasta prevede că prelucrarea datelor nu poate fi efectuată decât dacă persoana în cauză a acceptat această listă și stabilește o listă de excepții atunci când consimțământul nu este necesar. Excepții se referă, printre altele, la necesitatea de a efectua un contract la care persoana în cauză este o parte sau de a asigura un interes legitim al operatorului de date (articolul (a) și (e). De asemenea, în ceea ce privește prelucrarea datelor, autoritățile publice rămân obligate să protejeze viața intimă, privată și de familie a persoanelor fizice (art. 3). Directiva 95/46/CE a Uniunii Europene a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date prevede că obiectivul legislației naționale privind prelucrarea datelor cu caracter personal este, în special, de a proteja dreptul la confidențialitate, recunoscut atât la art. 8 din Convenția Europeană, cât și în principiile generale ale UE Un grup de lucru pentru protecția datelor a fost înființat în temeiul articolului 29 din directivă pentru a examina problema supravegherii comunicațiilor electronice pe locul de muncă și pentru a evalua implicațiile confidențialității datelor pentru angajații și angajatorii. 8/2001 privind prelucrarea datelor cu caracter personal în contextul ocupării forței de muncă care rezumă principiile fundamentale de protecție a datelor: finalitate, transparență, legitimitate, proporționalitate, exactitate, securitate și conștientizare a personalului. În ceea ce privește monitorizarea angajaților, a sugerat că aceaceasta ar trebui să fie: „o proporțională răspunsul unui angajator la riscurile pe care le confruntă luând în considerare intimitatea legitimă și alte interese ale lucrătorilor”. În mai 2002, Grupul de lucru a elaborat un document de lucru privind supravegherea și monitorizarea comunicațiilor electronice în locul de muncă. Acest document de lucru susține că faptul simplu că o activitate de monitorizare sau supraveghere este considerat convenabil pentru a servi interesul angajatorului nu ar putea justifica o intruzie în intimitatea lucrătorilor”. Documentul sugerează că orice măsură de monitorizare trebuie să treacă o listă de patru teste: transparență, necesitate, echitate și proporționalitate. Din punct de vedere tehnic, documentul de lucru indică faptul că: „Informațiile prompte pot fi livrate cu ușurință prin programe precum ferestrele de avertizare, care apare și alertă lucrătorul că sistemul a detectat și/sau a luat măsuri pentru a preveni utilizarea neautorizată a rețelei.” Mai precis, în ceea ce privește problema de deschidere a e-mail-urilor angajatului, documentul de lucru deține că: „deschiderea e-mail-ului unui angajat poate fi, de asemenea, necesară din alte motive decât monitorizarea sau supravegherea, de exemplu, pentru a menține corespondența în cazul în care angajatul este în afara mandatului (de exemplu, boala sau sărbători) și corespondența nu poate fi garantată altfel (de exemplu prin răspuns automat sau transmitere automată)”. COMPLAINTE Reclamantul se plânge în temeiul articolului 1 din Convenție că procedurile în fața instanțelor interne au fost nedreptate, în special deoarece el nu a fost autorizat să prezinte martori în apărarea sa. El plânge, de asemenea, în temeiul articolului 8 din Convenție că a existat o interferență în dreptul său de a respecta viața și corespondența sale private și că instanțele interne nu și-au protejat în mod eficient dreptul. Autoritățile de stat au respectat obligația lor pozitivă de a proteja dreptul reclamantului de a respecta viața și corespondența sale private, astfel cum sunt garantate de art. 8 din Convenție?

THIRD SECTION

Application no. 61496/08

Bogdan-Mihai BĂRBULESCU

against Romania

lodged on 15 December 2008

STATEMENT OF FACTS

The applicant, Mr Bogdan-Mihai Bărbulescu, is a Romanian national, who was born in 1979 and lives in Bucharest.

A.

The circumstances of the case

The facts of the case, as submitted by the applicant, may be summarised as follows.

From 1 August 2004 to 6 August 2007, the applicant was employed by a private company (“the employer”) as an engineer in charge with the sales. He created a Yahoo messenger account with the purpose of responding to clients’ enquiries.

On 13 July 2007 the employer informed the applicant that his Yahoo messenger communications had been monitored from 5 to 13

July

2007 and that he had used the company’s Internet connection for personal purposes, contrary to the internal regulations. The applicant replied in writing that he had only used Yahoo messenger for professional purposes. When presented with a 45

pages transcript of his personal Yahoo communications, the applicant notified his employer that, by violating his correspondence, they were accountable under the Criminal code.

On 1 August 2007 the employer ended the applicant’s employment contract for breach of the company’s internal regulations that provided among others that:

“It is strictly forbidden to disturb order and discipline within the company’s premises and especially [...] to use the computers, copying machines, telephones, telex and fax for personal purposes.”

The applicant challenged his employer’s decision before the Bucharest County

Court. He complained that this decision was a result of a violation of his

right to correspondence protected by the Romanian

Constitution and the Criminal

Code.

In a judgement of 7 December 2007, the county court dismissed his

complaint on the ground that the employer had complied with the dismissal proceedings provided for by the Labour Code. It considered that interception of his communications was the only manner in which the employer could verify observance of the internal regulations. The county

court noted that the applicant had been duly informed of these regulations and concluded that:

“Internet at the work place must remain a tool at the employee’s disposal. It was granted by the employer for professional use and it is undisputable that the employer by virtue of his right to control the employees’ activity has the prerogative to keep personal use of Internet under surveillance.

Some of the reasons that make the employer’s control necessary are the possibility that by using the Internet services, the employees may damage the company’s IT

systems, the possibility to engage the company’s responsibility for illicit activities in the virtual space or the possibility to reveal the company’s commercial secrets.”

The applicant appealed against this judgment. He claimed that e

‑

mails were also protected by Article 8 of the Convention as pertaining to “private life” and “correspondence”. He also complained that the court did not allow him to call witnesses to prove that the employer did not suffer any prejudice as a result of his actions.

In a final decision of 17 June 2008, the Bucharest Court

of

Appeal dismissed his appeal and upheld the judgment rendered by the county

court. Relying on EU Directive 95/46/EC, the Court of Appeal ruled that the employer’s conduct had been reasonable and that monitoring the applicant’s communications was the only manner to establish the disciplinary breach. With regard to his defence rights, the Court of Appeal dismissed the applicant’s arguments on account that the evidence already adduced before it was sufficient. It maintained that the serious breach of internal regulations justified the applicant’s dismissal.

B.

Relevant domestic law

The Romanian Constitution guarantees the right to the protection of intimate, private and family life (Article 26) as well as of the secret of the correspondence (Article

28).

Article 195 of the Criminal Code provides that:

“Anyone who unlawfully opens somebody else’s correspondence or intercepts somebody else’s conversation or communication by telephone, by telegraph or by any

other long distance means of transmission shall be liable to imprisonment for between six months to three years.”

The Labour Code in force at the time of events provided in Article

40

§

2

(i) that the employer was under the duty to guarantee the confidentiality of the employees’ personal data.

Law

no.

677/2001 on the protection of individuals with regard to the processing of personal data and the free movement of personal data transposes the provisions of EU Directive 95/46/EC (see below). It defines “personal data” as “any data related to an identified or identifiable individual” (Article

3

a). It provides that data processing can only be done if the person concerned consented to it and sets out a list of exceptions when consent is not necessary. Exceptions refer, among other situations, to the necessity to perform a contract to which the concerned individual is a party to or to secure a legitimate interest of the data operator (Article

5

§

2

(a)

and

(e). It also provides that when processing data, public authorities remain under the obligation to protect the individuals’ intimate, private and family life (Article

5

§

3).

C.

Relevant European Union law

Directive 95/46/EC of the European Parliament and of the Council of 24

October

1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data provides that the object of national laws on the processing of personal data is notably to protect the right to privacy as recognised both in Article

8 of the European

Convention and in the general principles of EU

law. A Data Protection Working Party was established under Article

29 of the directive in order to examine the issue of surveillance of electronic communications in the workplace and to evaluate the implications of data privacy for employees and employers. It is an independent EU advisory body.

The Working Party issued in September 2001 Opinion

8/2001 on the processing of personal data in the employment context which summarises the fundamental data protection principles: finality, transparency, legitimacy, proportionality, accuracy, security and awareness of the staff. With regard to employees’ monitoring, it suggested that it should be:

“a proportionate

response by an employer to the risks it faces taking into account the legitimate privacy and other interests of workers”.

In May 2002 the Working Party produced a Working Document on surveillance and monitoring of electronic communications in the workplace. This working document asserts that the simple fact that a monitoring activity or surveillance is considered convenient to serve the employer’s interest could not justify an intrusion into the workers’ privacy”. The document suggests that any monitoring measure must pass a list of four tests: transparency, necessity, fairness and proportionality.

From a technical point of view, the working document indicates that:

“Prompt information can be easily delivered by software such as warning windows, which pop up and alert the worker that the system has detected and/or has taken steps to prevent an unauthorised use of the network.”

More specifically, with regard to the question of opening the employee’s e-mails, the working document holds that:

“opening an employee’s e-mail may also be necessary for reasons other than monitoring or surveillance, for example in order to maintain correspondence in case the employee is out of office (e.g. sickness or holidays) and correspondence cannot be guaranteed otherwise (e.g. via auto reply or automatic forwarding).”

COMPLAINTS

1.

The applicant complains under Article

6

§

1 of the Convention that the proceedings before the domestic courts were unfair, in particular as he was not allowed to present witnesses in his defence.

2.

He also complains under Article 8 of the Convention that there was an interference with his right to respect for his private life and correspondence and that the domestic courts did not effectively protect his right.

QUESTION TO THE PARTIES

Have the State authorities complied with their positive obligation to protect the applicant’s right to respect for his private life and correspondence as guaranteed by Article 8 of the Convention?