DER GARANT FÜR DEN SCHUTZ PERSONENBEZOGENER DATEN

AUF DER HEUTIGEN SITZUNG, an der Prof. Pasquale Stanzione, Präsident, Prof. Ginevra Cerrina Feroni, Vizepräsidentin, Dr. Agostino Ghiglia und Guido Scorza, Mitglieder, und Cons. Fabio Mattei, Generalsekretär;

GESTÜTZT auf die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG, die „Allgemeine Datenschutzverordnung“ (nachstehend „Verordnung“), insbesondere auf die Artikel 5, 6 und 88

GESTÜTZT AUF das Gesetzesdekret Nr. 196 vom 30. Juni 2003 über das „Gesetz zum Schutz personenbezogener Daten“, das Bestimmungen zur Anpassung des nationalen Systems an die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (im Folgenden „Gesetz“) enthält, insbesondere auf die Artikel 113 und 114

GESTÜTZT AUF die Artikel 4 und 8 des Gesetzes Nr. 300 vom 20. Mai 1970 und auf Artikel 10 des Gesetzesdekrets Nr. 276 vom 10. September 2003, vorbehaltlich der Artikel 113 und 114 des Kodex

IN DER ERWÄGUNG, dass im Rahmen der von der Garante durchgeführten Untersuchungen über die Verarbeitung personenbezogener Daten am Arbeitsplatz die Gefahr besteht, dass Computerprogramme und -dienste für die Verwaltung der elektronischen Post, die von Anbietern im Cloud-Modus vermarktet werden, standardmäßig, präventiv und allgemein die Metadaten über die Nutzung der von den Arbeitnehmern verwendeten E-Mail-Konten erfassen und über einen längeren Zeitraum speichern; Dies schränkt mitunter auch die Möglichkeit des Kunden (Arbeitgebers) ein, die Grundeinstellungen des Computerprogramms zu ändern, um die systematische Erfassung dieser Daten zu deaktivieren oder deren Aufbewahrungsdauer zu verkürzen;

IN DER ERWÄGUNG, dass diese Behörde im Rahmen der ihr übertragenen Aufgaben zur Förderung des Bewusstseins und des Verständnisses der Öffentlichkeit, der für die Verarbeitung Verantwortlichen und der Auftragsverarbeiter für die in der Verordnung festgelegten Regeln, Pflichten, Risiken, Garantien und Rechte auch mittels Leitfäden (Artikel 57 Absatz 1 Buchstaben b) und d) der Verordnung Artikel 154-bis Absatz 1 Buchstabe a) des Kodex) vorläufig den Leitfaden „Computerprogramme und -dienste für die Verwaltung der elektronischen Post im beruflichen Kontext und die Verarbeitung von Metadaten“ (Vorschrift Nr. a) des Kodex) hat diese Behörde das Leitliniendokument „Computerprogramme und -dienste für die Verwaltung elektronischer Post im Arbeitskontext und die Verarbeitung von Metadaten“ (Provv. vom 21. Dezember 2023, Nr. 642, Web-Dok. Nr. 9978728) vorläufig angenommen, um auf bestimmte Überschneidungspunkte zwischen den Datenschutzvorschriften und den Vorschriften zur Festlegung der Bedingungen für den Einsatz technologischer Hilfsmittel am Arbeitsplatz aufmerksam zu machen;

GESTÜTZT AUF die Bestimmung vom 22. Februar 2024, Nr. 127, Web-Dok. Nr. 9987885, wonach unter Berücksichtigung der bei der Garante eingegangenen Anträge auf Klarstellung eine öffentliche Konsultation über die Angemessenheit der Dauer der Aufbewahrung von Metadaten (im Folgenden auch „Protokolle“ genannt), die automatisch durch E-Mail-Übertragungs- und Sortierprotokolle erzeugt und gesammelt werden, im Verhältnis zu den von öffentlichen und privaten Arbeitgebern verfolgten Zwecken eingeleitet wurde, wobei die Wirksamkeit des vorgenannten Grundsatzdokuments ausgesetzt wird (siehe Öffentliche Bekanntmachung über die Einleitung einer Konsultation über die Dauer der Aufbewahrung von Metadaten, die durch E-Mail-Übertragungs- und Sortierprotokolle erzeugt und automatisch gesammelt werden, veröffentlicht im Amtsblatt Nr. 64 vom 16. März 2024)

UNTER BERÜCKSICHTIGUNG der Kommentare und Vorschläge, die bei der Garante im Rahmen der oben erwähnten öffentlichen Konsultation eingegangen sind

IN DER ERWÄGUNG, dass es notwendig ist, spezifische Änderungen und Ergänzungen an dem genannten Grundsatzdokument vorzunehmen, auch um das Verständnis des Umfangs der in Betracht gezogenen Verarbeitungen und der gegebenen Hinweise zu erleichtern, um das Bewusstsein für die technischen und organisatorischen Entscheidungen zu fördern, die von den Arbeitgebern in ihrer Eigenschaft als für die Datenverarbeitung Verantwortliche getroffen werden, und um Initiativen und Datenverarbeitungsvorgänge zu verhindern, die im Widerspruch zu den Datenschutzbestimmungen und den Vorschriften zum Schutz der Freiheit und Würde der Arbeitnehmer stehen

IN DER ERWÄGUNG, dass es außerdem notwendig ist, Angaben zu den Kriterien zu machen, die den Arbeitgebern bei der Festlegung der möglichen Aufbewahrungsdauer der genannten Protokolle als Richtschnur dienen können, um die in Artikel 4 Absatz 2 des Gesetzes Nr. 300 vom 20. Mai 1970 enthaltene Ausnahmeregelung in Bezug auf die in Absatz 1 enthaltene Regel anzuwenden, damit das ordnungsgemäße Funktionieren und die regelmäßige Nutzung des E-Mail-Systems, einschließlich der wesentlichen Garantien für die Computersicherheit, gewährleistet werden können

IN DER ERWÄGUNG, dass es daher notwendig ist, eine aktualisierte Fassung des Leitfadens mit dem Titel „Computerprogramme und -dienste für die Verwaltung der elektronischen Post im Arbeitsumfeld und die Verarbeitung von Metadaten“ (Anhang Nr. 1) zu verabschieden, der integraler Bestandteil dieser Maßnahme ist;

GESTÜTZT auf die vorliegende Dokumentation

UNTER BERÜCKSICHTIGUNG der Bemerkungen des Generalsekretärs gemäß Artikel 15 der Verordnung Nr. 1/2000 des Datenschutzbeauftragten über die Organisation und die Arbeitsweise des Datenschutzbeauftragten, Web-Dok. Nr. 1098801;

BERICHTER: Dr. Agostino Ghiglia;

BESCHLIESST

eine aktualisierte Fassung des Leitliniendokuments mit dem Titel „Computerprogramme und -dienste für die Verwaltung der elektronischen Post im Arbeitskontext und die Verarbeitung von Metadaten“ (Anhang Nr. 1) anzunehmen, das integraler Bestandteil dieser Maßnahme ist.

Rom, 6. Juni 2024

DER VORSITZENDE
Stanzione

DER RAPPORTEUR
Ghiglia

DER GENERALSEKRETÄR
Mattei

GRUNDSATZDOKUMENT

Computerprogramme und -dienste für die Verwaltung von E-Mails in der Arbeitsumgebung und die Verarbeitung von Metadaten

1. Einleitung

Im Rahmen der von der Garante durchgeführten Untersuchungen zur Verarbeitung personenbezogener Daten im Arbeitsumfeld hat sich herausgestellt, dass die Gefahr besteht, dass Computerprogramme und -dienste zur Verwaltung von E-Mails, auch wenn sie von Cloud-Anbietern vermarktet werden, standardmäßig, präventiv und allgemein Metadaten über die Nutzung der von den Arbeitnehmern verwendeten E-Mail-Konten sammeln und diese über einen längeren Zeitraum speichern. Im weiteren Verlauf dieses Dokuments wird alternativ auf „E-Mail-Metadaten“ oder „E-Mail-Protokolle“ Bezug genommen.

Die Metadaten, auf die in diesem zur öffentlichen Konsultation vorgelegten Strategiepapier Bezug genommen wird, entsprechen technisch gesehen den Informationen, die in den Protokollen aufgezeichnet werden, die von den Serversystemen für die Verwaltung und Sortierung der elektronischen Post (MTA = Mail Transport Agent) und von den Arbeitsplätzen im Rahmen der Interaktion zwischen den verschiedenen interagierenden Servern und gegebenenfalls zwischen diesen und den Clients (den Terminal-Arbeitsplätzen, die die Nachrichten versenden und die Abfrage der eingehenden Korrespondenz durch Zugriff auf die elektronischen Postfächer ermöglichen, in den technischen Normen als MUA – Mail User Agent – definiert) erzeugt werden.

Zu diesen Informationen im Zusammenhang mit den Vorgängen des Sendens, Empfangens und Sortierens von Nachrichten können die E-Mail-Adressen des Absenders und des Empfängers, die IP-Adressen der an der Weiterleitung der Nachricht beteiligten Server oder Clients, die Zeitpunkte des Sendens, der erneuten Übertragung oder des Empfangs usw. gehören Größe der Nachricht, das Vorhandensein und die Größe etwaiger Anhänge und in bestimmten Fällen in Bezug auf das Verwaltungssystem des verwendeten E-Mail-Dienstes auch der Betreff der gesendeten oder empfangenen Nachricht.

Die in diesem Dokument genannten Metadaten (sowohl solche rein technischen Ursprungs als auch solche, die wie das Feld „Betreff“ von Benutzern bestimmt werden) zeichnen sich dadurch aus, dass sie automatisch von E-Mail-Systemen erfasst werden, unabhängig von der Wahrnehmung und dem Willen des Benutzers. ‚Benutzer.

Dieselben Metadaten, wie sie hier beabsichtigt sind, sollten in keiner Weise mit den Informationen verwechselt werden, die in den E-Mail-Nachrichten in ihrem „Body-Teil“ (Nachrichtentext) enthalten sind oder sogar in diese integriert werden – wenn auch manchmal nicht sofort für Benutzer von sichtbar die „Client“-Software“ der elektronischen Post (der sogenannte MUA – Mail User Agent) – um den sogenannten Umschlag zu bilden, d. h. den Satz strukturierter technischer Header, die die Weiterleitung der Nachricht, ihren Ursprung und andere technische Parameter dokumentieren . Die im Umschlag enthaltenen Informationen entsprechen zwar Metadaten, die automatisch in den Protokollen des E-Mail-Dienstes aufgezeichnet werden, sind jedoch untrennbar mit der Nachricht verbunden, deren integraler Bestandteil sie sind, und unterliegen der ausschließlichen Kontrolle des Benutzers (sei es Absender oder Empfänger der Nachricht). Mitteilungen ).

Daher betreffen die im Dokument enthaltenen Angaben zu den oben definierten Speicherzeiten der Metadaten nicht den Inhalt der E-Mail-Nachrichten (und auch nicht die technischen Informationen, die in jedem Fall ein integraler Bestandteil davon sind), die dem Unternehmen weiterhin zur Verfügung stehen Benutzer/Mitarbeiter unter der ihm zugewiesenen E-Mail-Adresse.

Dieses Dokument enthält keine Vorschriften oder führt keine neuen Verpflichtungen für Datenverantwortliche ein, sondern soll eine systematische Rekonstruktion der in diesem speziellen Bereich geltenden Bestimmungen im Lichte einiger früherer Entscheidungen der Behörde bieten, mit dem alleinigen Zweck, die Aufmerksamkeit auf einige Punkte zu lenken Schnittstelle zwischen Datenschutzbestimmungen und den Regeln, die die Bedingungen für den Einsatz technischer Hilfsmittel am Arbeitsplatz festlegen.

Unter diesem Gesichtspunkt beabsichtigt die Behörde auch, Arbeitgebern Hinweise auf die Möglichkeit der Verarbeitung dieser Informationen zu geben, um das ordnungsgemäße Funktionieren und die ordnungsgemäße Nutzung des E-Mail-Systems einschließlich der wesentlichen IT-Sicherheitsgarantien zu ermöglichen, ohne dass das vorgesehene Garantieverfahren aktiviert werden muss durch Kunst. 4, Absatz 1, l. 20.5.1970, Nr. 300, auf die in der Kunst ausdrücklich Bezug genommen wird. 114 des Kodex.

Aufgrund des indikativen Charakters des Leitliniendokuments ergeben sich daraus keine neuen Verpflichtungen oder Verantwortlichkeiten.

Im Lichte der Bemerkungen und Vorschläge, die der Garant im Rahmen der öffentlichen Konsultation erhalten hat, der dieses Dokument unterzogen wurde (Bestimmung vom 22. Februar 2024, Nr. 127, Web-Dok. Nr. 9987885; Amtsblatt Nr. 64 vom 16. März 2024). ) wurden an diesem Leitliniendokument einige Änderungen und Ergänzungen vorgenommen, auch in Bezug auf die Kriterien, die die Entscheidungen der Arbeitgeber bei der Ermittlung der möglichen Aufbewahrungsfrist der oben genannten Protokolle für die Zwecke der Anwendung der in der Kunst enthaltenen Ausnahme leiten können. 4, Absatz 2, des Gesetzes. 20. Mai 1970, Nr. 300 im Hinblick auf die in Absatz 1 genannte Regel, um das ordnungsgemäße Funktionieren und die ordnungsgemäße Nutzung des E-Mail-Systems einschließlich der wesentlichen IT-Sicherheitsgarantien sicherzustellen. Darüber hinaus wurden Klarstellungen zum objektiven Anwendungsbereich des Dokuments sowie zur Definition von Metadaten und zur Art des Dokuments vorgenommen. Abschließend wurden E-Mail-Dienstleister auf die Notwendigkeit aufmerksam gemacht, das Recht auf Datenschutz entsprechend dem Stand der Technik bereits in der Gestaltungsphase von Diensten und Produkten zu berücksichtigen.

2. Die Gesetzgebung zum Schutz personenbezogener Daten

Wie der Garant stets dargelegt hat, handelt es sich beim Inhalt der E-Mail-Nachrichten – ebenso wie bei den externen Daten der Kommunikation und den angehängten Dateien – um Formen der Korrespondenz, die durch ebenfalls verfassungsrechtlich geschützte Geheimhaltungsgarantien (Artikel 2 und 15 der Verfassung) unterstützt werden ), die den wesentlichen Kern der Würde des Menschen und die volle Entfaltung seiner Persönlichkeit in gesellschaftlichen Formationen schützen. Dies bedeutet, dass auch im öffentlichen und privaten Arbeitskontext ein berechtigtes Vertrauen in die Vertraulichkeit von Beziehungen besteht

In Anbetracht der Tatsache, dass die Nutzung der oben genannten IT-Programme und -Dienste zu einer „Verarbeitung“ personenbezogener Daten führt, die sich auf identifizierte oder identifizierbare „Interessenten“ bezieht (Art. 4 Abs. 1 Nr. 1 und 2 der Verordnung). Im Arbeitskontext ist es für den Arbeitgeber als Datenverantwortlicher erforderlich, das Vorliegen einer geeigneten Rechtmäßigkeitsvoraussetzung (siehe Artikel 5, Absatz 1, Buchstabe a) und 6 der Verordnung) zu überprüfen, bevor er die Verarbeitung von Arbeitnehmern durchführt „Personenbezogene Daten über solche Programme und Dienste unter Beachtung der Bedingungen für die rechtmäßige Nutzung technischer Hilfsmittel im Arbeitskontext (Art. 88 Abs. 2 der Verordnung).

Insbesondere ist daher stets das Vorliegen der in der Kunst aufgestellten Rechtmäßigkeitsvoraussetzungen zu prüfen. 4 des Gesetzes. 20. Mai 1970, Nr. 300, auf die sich die Kunst bezieht. 114 des Kodex sowie die Einhaltung der Bestimmungen, die es dem Arbeitgeber verbieten, Informationen zu beschaffen und auf jeden Fall zu verarbeiten, die für die Beurteilung der beruflichen Eignung des Arbeitnehmers nicht relevant sind oder sich auf jeden Fall auf seine Privatsphäre beziehen (Art 8 des Gesetzes vom 20. Mai 1970, Nr. 300 und Art. 10 des Gesetzesdekrets vom 10. September 2003. Die Artikel. Die Art. 113 und 114 des Gesetzbuches gelten im italienischen Recht tatsächlich als spezifischere Bestimmungen und umfassendere Garantien im Sinne des Artikels. 88 der Verordnung, deren Einhaltung eine Voraussetzung für die Rechtmäßigkeit der Verarbeitung darstellt und deren Verletzung neben der Anwendung verwaltungsrechtlicher Geldstrafen gemäß Art. 83, Abs. 5, Brief. d) der Verordnung, auch die mögliche Entstehung einer strafrechtlichen Verantwortlichkeit (siehe Art. 171 des Gesetzbuches).

Der Datenverantwortliche ist außerdem verpflichtet, die allgemeinen Grundsätze der Verarbeitung (Artikel 5, 24 und 25 der Verordnung) zu respektieren und alle Verpflichtungen umzusetzen, die sich aus den gesetzlichen Bestimmungen zum Schutz personenbezogener Daten ergeben (siehe Artikel 12, 13, 14). 30, 32 und 35 der Verordnung), auch im Hinblick auf die Notwendigkeit, den interessierten Parteien auf korrekte und transparente Weise eine klare Darstellung der gesamten durchgeführten Verarbeitung zu bieten, damit sie Zugang zu allen wesentlichen Informationselementen haben, die erforderlich sind der Verordnung und sich vor Beginn der Verarbeitung vollständig über deren Merkmale im Klaren zu sein (siehe Urteil des Europäischen Gerichtshofs für Menschenrechte vom 5. September 2017 – Berufung Nr. 61496/08 – Fall Barbulescu gegen Rumänien, Sonderpar. Nr. 133 und 140).

Darüber hinaus ist es in Umsetzung des Grundsatzes der „Verantwortung“ (siehe Art. 5, Abs. 2 und 24 der Verordnung) Sache des Eigentümers, zu beurteilen, ob die durchzuführenden Behandlungen möglicherweise eine hohe Belastung darstellen Risiko für die Rechte und Freiheiten natürlicher Personen – aufgrund der verwendeten Technologien und unter Berücksichtigung der Art, des Gegenstands, des Kontexts und der verfolgten Zwecke –, was eine vorherige Folgenabschätzung zum Schutz personenbezogener Daten erforderlich macht (siehe Absatz 90 und Artikel 35 und 36). der Verordnung).

Selbst unter Berücksichtigung der Hinweise auf europäischer Ebene zu diesem Punkt besteht dieser Bedarf insbesondere im Fall der Erhebung und Speicherung von E-Mail-Protokollen angesichts der besonderen „Verletzlichkeit“ der interessierten Parteien im Arbeitskontext, z sowie das Risiko einer „systematischen Überwachung“, verstanden als „Verarbeitung zur Beobachtung, Überwachung oder Kontrolle betroffener Personen, einschließlich der über Netzwerke gesammelten Daten“ (Arbeitsgruppe Art. 29, „Richtlinien zur Folgenabschätzung zum Datenschutz sowie die Kriterien zur Feststellung einer Behandlung“, WP 248 vom 11. Oktober 2018, Nr., Anhang Nr. 1; unter anderem Bestimmung 13. Mai 2021, Webdokument Nr.

3. Die Branchenvorschriften für Fernbedienungen

Die Kunst. 4, Absatz 1, l. 20. Mai 1970, Nr. 300, geändert durch Gesetzesdekret vom 14. September 2015, Nr. 151 definiert genau die Zwecke (d. h. organisatorische, produktive, Sicherheit am Arbeitsplatz und Schutz der Vermögenswerte des Unternehmens), für die die Tools im Arbeitskontext eingesetzt werden können, woraus sich auch die Möglichkeit der Fernsteuerung der Aktivitäten der Arbeitnehmer ergibt, und legt genaue Vorgehensweisen fest Garantien (Gewerkschaftsvereinbarung oder öffentliche Genehmigung).

Die oben genannten Garantien gelten jedoch nicht „für die Werkzeuge zur Aufzeichnung des Zugangs und der Anwesenheit“ sowie „für die Werkzeuge, die der Arbeitnehmer zur Ausführung seiner Arbeit verwendet“ (Art. 4, Absatz 2, Gesetz Nr. 300/1970). . Diese Bestimmung stellt eine Ausnahme gegenüber der restriktiveren Regelung gemäß Absatz 1 dar und muss daher einer strengen Auslegung unterliegen, wobei die Verantwortlichkeiten auch auf strafrechtlicher Ebene zu berücksichtigen sind, die sich aus der Verletzung des oben genannten Regelungsrahmens ergeben können. Durch ausdrückliche Wahl des Gesetzgebers unterliegen daher lediglich die auch aufgrund technischer Ausgestaltungsmerkmale vorab vorgesehenen Tools zur „Registrierung von Zugängen und Anwesenheiten“ und zur „Erbringung des Dienstes“ nicht den genannten Beschränkungen und Garantien auf den ersten Absatz, da sie dazu dienen, die Erfüllung der Verpflichtungen zu ermöglichen, die sich unmittelbar aus dem Arbeitsvertrag ergeben, d. h. die Anwesenheit im Dienst und die Ausführung der Arbeitsleistung.

In Anbetracht der genannten Bestimmungen gilt Absatz 2 der Kunst als anwendbar. 4 des Gesetzes Nr. 300/1970 wird davon ausgegangen, dass die Tätigkeit des Sammelns und Speicherns nur der Metadaten/Protokolle, die zur Gewährleistung des Funktionierens der Infrastrukturen des E-Mail-Systems erforderlich sind, nach technischen Bewertungen und unter Einhaltung des Grundsatzes der Rechenschaftspflicht normalerweise durchgeführt werden kann , für einen auf einige Tage begrenzten Zeitraum; Als Richtlinie gilt, dass diese Lagerung 21 Tage nicht überschreiten sollte. Auch hier im Rahmen des oben genannten Zwecks (Gewährleistung des Funktionierens der Infrastrukturen des E-Mail-Systems), zu dem Absatz 2 der Kunst gehört. 4 des Gesetzes Nr. 300/1970 kann eine Aufbewahrung für einen noch längeren Zeitraum nur dann durchgeführt werden, wenn besondere Bedingungen vorliegen, die ihre Verlängerung erforderlich machen und hinreichend beweisen, und zwar in Anwendung des in der Kunst vorgesehenen Grundsatzes der Verantwortlichkeit. 5, Abs. 2 der Verordnung die Besonderheiten der technischen und organisatorischen Realität des Eigentümers. In jedem Fall obliegt es dem Eigentümer, alle technischen und organisatorischen Maßnahmen zu ergreifen, um die Einhaltung des Grundsatzes der Zweckbindung, die selektive Zugänglichkeit nur durch berechtigte und ausreichend geschulte Personen sowie die Nachverfolgung der erfolgten Zugriffe sicherzustellen.

Andernfalls erfordert die allgemeine Erfassung und Speicherung von E-Mail-Protokollen über einen längeren Zeitraum, da sie zu einer indirekten Fernkontrolle der Aktivitäten der Arbeitnehmer führen kann, die Umsetzung der in der Kunst vorgesehenen Garantien. 4, Absatz 1 des oben genannten Gesetzes Nr. 300/1970 (siehe zuletzt Bestimmung vom 1. Dezember 2022, Nr. 409, Web-Dok. Nr. 9833530). Es versteht sich, dass diese Konservierung auch unter Einhaltung des Grundsatzes der Beschränkung der Konservierung erfolgen muss (siehe Punkt 4.2 unten).

4. Mögliche Verantwortlichkeiten für öffentliche und private Arbeitgeber

4.1 Rechtmäßigkeit der Verarbeitung

In Bezug auf die Rechtmäßigkeit der Verarbeitung wird zunächst klargestellt, dass die Verwendung von Systemen und Lösungen zur Verwaltung und Aufbewahrung elektronischer Kommunikationsprotokolle (wie oben im Dokument definiert) als unter die in genannte Ausnahme fallend angesehen werden kann Absatz 2 der Kunst. 4, Gesetz Nr. 300/1970 in den Fällen, unter den Bedingungen und für die Zwecke, die bereits im vorherigen Absatz genannt wurden. 3.

Aus der weiteren Verwendung personenbezogener Daten, die ohne die oben genannten Garantien erhoben werden, können sich dann weitere Rechtswidrigkeitsprofile ergeben. Das liegt daran, dass die Kunst. 4, Absatz 3 des Gesetzes Nr. Die Verordnung Nr. 300/1970 erlaubt für Zwecke im Zusammenhang mit der Verwaltung des Arbeitsverhältnisses nur die Nutzung der bereits rechtmäßig erfassten Informationen unter Einhaltung der in den Absätzen 1 und 2 festgelegten Bedingungen und Grenzen und daher innerhalb der Grenzen, in denen die ursprüngliche Erhebung erfolgte rechtmäßig durchgeführt wurde und „ausreichende Informationen über die Verwendung der Tools und die Durchführung von Kontrollen“ in Übereinstimmung mit den Bestimmungen der Datenschutzbestimmungen bereitstellt (siehe Bestimmungen vom 28. Oktober 2021, Nr. 384, Dok. Web-Nr 9722661 und 13. Mai 2021, Nr. 190.

Darüber hinaus werden aus den Elementen, die aus den externen Daten der Korrespondenz gewonnen werden können, wie zum Beispiel der Betreff, der Absender und der Empfänger und anderen Informationen, die die Daten auf dem Transportweg begleiten, zeitliche Profile (wie zum Beispiel das Datum und die Uhrzeit des Versands/der Korrespondenz) definiert. Empfang) sowie unter qualitativ-quantitativen Aspekten auch hinsichtlich der Empfänger und der Kontakthäufigkeit (da diese Daten wiederum einer Aggregation, Verarbeitung und Kontrolle unterliegen) ist es möglich, Informationen über die persönliche Sphäre zu gewinnen oder Meinungen des Interessenten.

In diesem Zusammenhang wird daran erinnert, dass es öffentlichen und privaten Arbeitgebern seit 1970 untersagt ist, „auch durch Dritte Untersuchungen über die politischen, religiösen oder gewerkschaftlichen Ansichten des Arbeitnehmers sowie über Tatsachen durchzuführen, die für die Zwecke nicht relevant sind“. der Beurteilung der beruflichen Eignung des Arbeitnehmers“ (siehe Art. 8 des Gesetzes Nr. 300/1970 und Art. 10 des Gesetzesdekrets Nr. 276 vom 10. September 2003, auf das in Art. 113 des Gesetzbuchs ausdrücklich Bezug genommen wird). Die pauschale Erhebung und Speicherung von Metadaten im Zusammenhang mit der E-Mail-Nutzung durch Arbeitnehmer über einen längeren Zeitraum ohne entsprechende gesetzliche Voraussetzungen kann daher dazu führen, dass der Arbeitgeber an Informationen über die persönliche Sphäre gelangt oder Meinungen der interessierten Partei und sind daher für die Beurteilung der beruflichen Eignung des Arbeitnehmers nicht relevant.

4.2 Grundsatz der Korrektheit und Transparenz

In jedem Fall werden alle Datenverantwortlichen daran erinnert, zu überprüfen, ob die Erhebung und Speicherung von Protokollen im Einklang mit den Grundsätzen der Korrektheit und Transparenz gegenüber den Arbeitnehmern erfolgt und dass die Arbeitnehmer angemessen über die Verarbeitung personenbezogener Daten im Zusammenhang mit der Kommunikation elektronischer Daten informiert wurden (siehe Artikel 5, Absatz 1, Buchstabe a), 12, 13 und 14 der Verordnung).

In diesem Zusammenhang ist es wichtig, dass interessierte Parteien umfassend über die Gesamtmerkmale der Verarbeitung informiert werden (Angabe der Datenaufbewahrungsfristen, etwaige Kontrollen usw.).

4.3 Grundsatz der Erhaltungsbegrenzung

Die Aufbewahrungsfristen der Metadaten müssen in jedem Fall in einem angemessenen Verhältnis zu den verfolgten legitimen Zwecken stehen. Insbesondere Zwecke im Zusammenhang mit der IT-Sicherheit und dem Schutz von IT-Ressourcen rechtfertigen die Aufbewahrung von Metadaten für einen Zeitraum, der dem Ziel der Erkennung und Eindämmung etwaiger Sicherheitsvorfälle sowie der unverzüglichen Ergreifung geeigneter Gegenmaßnahmen angemessen ist. Werden die Aufbewahrungsfristen nicht in einem angemessenen Verhältnis zu den Verarbeitungszwecken festgelegt, kann es für den Verantwortlichen zu einem Verstoß gegen den Grundsatz der „Speicherbeschränkung“ kommen (Art. 5 Abs. 1 Buchst. e) der Verordnung).

4.4 Grundsätze des Datenschutzes durch Technikgestaltung und datenschutzfreundliche Voreinstellungen sowie Grundsatz der Rechenschaftspflicht

Der Arbeitgeber muss außerdem Maßnahmen ergreifen, die darauf abzielen, die Einhaltung der Grundsätze des Datenschutzes bereits bei der Gestaltung der Verarbeitung und standardmäßig (Art. 25 der Verordnung) während des gesamten Lebenszyklus der Daten sicherzustellen, „einschließlich[ d]o in.“ die Verarbeitung der geeigneten Maßnahmen und Garantien, um die Wirksamkeit der Grundsätze des Datenschutzes sowie der Rechte und Freiheiten der betroffenen Parteien zu gewährleisten“ und sicherzustellen, dass „standardmäßig nur die Verarbeitung durchgeführt wird, die zur Erreichung des spezifischen und rechtmäßigen Zwecks unbedingt erforderlich ist.“ „, auch im Hinblick auf die Aufbewahrungsdauer der Daten, „in allen Phasen der Planung von Verarbeitungstätigkeiten, einschließlich Beschaffung, Ausschreibungen, Outsourcing, Entwicklung, Support, Wartung, Prüfung, Aufbewahrung, Löschung etc.“ („Leitlinien 4/2019 zu Artikel 25 – Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen“, angenommen vom Europäischen Datenschutzausschuss am 20. Oktober 2020).

Darüber hinaus trägt der für die Datenverarbeitung Verantwortliche als Subjekt, dem Entscheidungen über die Zwecke und Methoden der Verarbeitung der personenbezogenen Daten der betroffenen Parteien obliegen, eine „allgemeine Verantwortung“ für die durchgeführte Verarbeitung (Kons. 74 der Verordnung; vgl ., unter vielen, Bestimmungen vom 10. Februar 2022, Webdokument Nr. 9751498 und die darin genannten früheren Bestimmungen gemäß der DSGVO“, angenommen vom Europäischen Datenschutzausschuss am 7. Juli 2021, Spez. 174), die betreffende Verarbeitung kann auch einen Verstoß gegen den Grundsatz der „Verantwortung“ (Art. 5 Abs. 1 und 24 der Verordnung) darstellen, wonach der Eigentümer verpflichtet ist, die Grundsätze des Datenschutzes zu respektieren (Art. 5 Abs. 1, der Verordnung) und muss dies nachweisen können (Art. 5 Abs. 2 der Verordnung). Dies gilt auch im Hinblick auf die geeigneten technischen und organisatorischen Maßnahmen, die getroffen werden, um die Einhaltung der Datenschutzbestimmungen und etwaiger anwendbarer Branchenvorschriften zu gewährleisten (Art. 24 Abs. 1 der Verordnung).

Wie der Garant kürzlich hervorgehoben hat, muss der Datenverantwortliche, auch wenn er von Dritten erstellte Produkte oder Dienstleistungen nutzt, die Einhaltung der für die Datenverarbeitung geltenden Grundsätze (Art . 5 der Verordnung) unter Beachtung des Grundsatzes der Rechenschaftspflicht die geeigneten technischen und organisatorischen Maßnahmen zu treffen und dem Diensteanbieter die erforderlichen Anweisungen zu erteilen (siehe Artikel 5, Absätze 2, 24, 25 und 32 der Verordnung; siehe . , in Bezug auf spezifische Behandlungen am Arbeitsplatz, Nr. 235, Web-Dok. 17. Dezember 2020, Nr. 282. Der Verantwortliche muss daher sicherstellen, dass die Funktionen deaktiviert werden, die mit den Verarbeitungszwecken nicht vereinbar sind oder im Widerspruch zu bestimmten gesetzlich festgelegten Branchenvorschriften stehen, indem er beispielsweise die Aufbewahrungsfristen der Daten angemessen misst oder den Dienstleister auffordert, die erfassten Metadaten zu anonymisieren in Fällen, in denen eine längere Aufbewahrung nicht beabsichtigt ist.

4.4.1. Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen und E-Mail-Dienstleister

In dieser Hinsicht sieht die Verordnung vor, dass die Hersteller der Dienste und Anwendungen bereits bei der Konzeption, Entwicklung, Auswahl und Nutzung von Anwendungen, Diensten und Produkten, die auf der Verarbeitung personenbezogener Daten basieren oder personenbezogene Daten verarbeiten, dies berücksichtigen müssen Rechtlicher Datenschutz entsprechend dem Stand der Technik.

Lieferanten müssen daher auch dazu beitragen, dass die für die Datenverarbeitung Verantwortlichen ihren Datenschutzpflichten nachkommen können, indem sie die Anforderungen einer groß angelegten Vermarktung ihrer Produkte mit der Einhaltung der Grundsätze der Verordnung in Einklang bringen, auch im Hinblick auf die Verbesserung des angebotenen Produkts. im Hinblick auf eine bessere Übereinstimmung mit der Verordnung (siehe Absatz 78 der Verordnung).

5. Die Initiativen, die umgesetzt werden müssen, um die Einhaltung der Datenschutzgesetze und Branchenvorschriften für Fernsteuerungen sicherzustellen

Vor dem Hintergrund der vorstehenden Erwägungen und um eine Verarbeitung personenbezogener Daten zu verhindern, die nicht dem oben genannten Rechtsrahmen entspricht und eine daraus resultierende verwaltungs- und strafrechtliche Haftung nach sich zieht, müssen öffentliche und private Arbeitgeber die erforderlichen Maßnahmen ergreifen, um ihre Verarbeitung an die Daten anzupassen Schutz- und Branchenvorschriften.

Insbesondere liegt es in der Verantwortung des Datenverantwortlichen, zu überprüfen, ob die von den Mitarbeitern genutzten IT-Programme und Dienste für die E-Mail-Verwaltung – insbesondere im Fall von Marktprodukten, die im Cloud- oder As-a-Service-Modus bereitgestellt werden – dies dem Kunden (Arbeitgeber) ermöglichen die Datenschutzbestimmungen im Sinne dieses Leitfadens einzuhalten, auch im Hinblick auf die Aufbewahrungsfrist für Metadaten gemäß Abs. 3.

Abschließend ist darauf hinzuweisen, dass die in diesem Leitfaden dargelegten Hinweise auch dann als gültig anzusehen sind, wenn im öffentlichen Sektor die betreffenden IT-Programme und -Dienste über Vereinbarungen/Plattformen erworben werden, die öffentliche Verwaltungen verpflichten bzw. verpflichten für den Kauf von Waren und Dienstleistungen verwenden können.

In jedem Fall wird in Bezug auf die Nutzung von Cloud-basierten Diensten im öffentlichen Sektor auf die Ausführungen im Bericht „2022 Coordinated Enforcement Action Use of Cloud-based Services by the Public Sector“ des Europäischen Datenschutzbeauftragten verwiesen Ausschuss (angenommen am 17. Januar 2023, verfügbar auf der Webseite https://edpb.europa.eu/our-work-tools/our-documents/other/coordinated-enforcement-action-use-cloud-based-services-public_en ), die Hinweise auf die technischen und organisatorischen Maßnahmen enthält, die erforderlich sind, um die Einhaltung der Verordnung in diesem Zusammenhang sicherzustellen, und insbesondere sicherstellt, dass Cloud-Dienstanbieter personenbezogene Daten nur im Namen der jeweiligen Eigentümer und auf der Grundlage der von ihnen erhaltenen Anweisungen verarbeiten ihnen.

https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/10026277