Na podlagi dosedanje prakse ESČP je bil za oceno, ali ima delodajalec pravico do posega v zasebnost delavca na delovnem mestu na način, da na primer spremlja in nadzoruje uporabo telefona, elektronske pošte, uporabo interneta in podobno, odločilni kriterij, ali je imel delodajalec za takšno spremljanje in nadzor legitimen interes in ali je delodajalec delavca o nadzoru vnaprej opozoril in mu pojasnil, za kakšne namene in v katerih primerih se tovrsten nadzor vrši. V kolikor so torej veljavni (interni) akti delodajalca predvidevali pravico delodajalca do nadzora telefona, uporabe elektronske pošte in interneta delavca (na primer politika zasebnosti ali pravilnik o uporabi sredstev delodajalca) ali je to določal dogovor med delavcem in delodajalcem, se je (praviloma) štelo, da delavec v zvezi s svojo komunikacijo ni mogel utemeljeno pričakovati zasebnosti. Delodajalec je posledično imel pravico do pregleda oziroma nadzora nad elektronsko komunikacijo delavca (prim. tudi odločitvi ESČP v zadevah Copland proti Združenemu Kraljestvu in Halford proti Združenemu Kraljestvu).
Tudi odločitev v zadevi Barbulescu proti Romuniji pritrjuje, da ima delodajalec legitimen interes, da preverja, ali se delovna sredstva uporabljajo za službene namene in ni nerazumno, da delodajalec želi preveriti, ali se njegova sredstva uporabljajo namensko in ali delavec izpolnjuje svoje obveznosti iz delovnega razmerja. Po drugi strani ima delavec pravico do zasebnosti na delovnem mestu, saj s tem, ko »vstopi« v prostore delodajalca in uporablja delodajalčeva delovna sredstva to ne pomeni, da se je s tem v celoti odpovedal pravici do zasebnosti. Ker gre torej za konflikt med dvema legitimnima pravicama, je potrebno v vsakem posameznem primeru tehtati, kateri pravici je potrebno dati prednost, da se zagotovi pošteno ravnovesje med pravico delavca do zasebnosti in pravico delodajalca, da zagotovi normalno in zakonito poslovanje podjetja.
V zadevi Barbulescu proti Romuniji je bil delavec seznanjen s pravili delodajalca, da je prepovedana uporaba katerihkoli (delovnih) sredstev delodajalca za zasebne namene (med drugih, da ne sme uporabljati interneta in računa Yahoo Messenger za zasebne namene), prav tako je bil obveščen, da je delodajalec vzpostavil postopek spremljanja njegove komunikacije. Kljub temu je delavec internet in Yahoo Messenger uporabljal za zasebne namene. Zaradi navedene kršitve je delodajalec zoper delavca uvedel postopek odpovedi pogodbe o zaposlitvi. Delavcu je posledično tudi prenehalo delovno razmerje pri delodajalcu. Delavec je izpodbijal zakonitost odpovedi, sklicujoč se, da je bil nadzor njegove komunikacije nezakonit, ker je bila komunikacija, ki jo je delodajalec pregledoval, zasebne narave, prav tako je imel edini geslo za dostop do Yahoo Messenger Računa, in ker ni prejel vnaprejšnjega opozorila, da delodajalec njegovo pošto prebira, je razumno pričakoval zasebnost v zvezi s takšno komunikacijo.
ESČP (veliki senat) je odločil, da ne glede na omejitve, ki jih je v konkretnem primeru delodajalec določil glede uporabe službenih sredstev, delodajalčeva navodila ne morejo zreducirati pravice delavca do zasebnosti na »nič«. Pravica do zasebnega življenja in zasebnosti korespondence obstajata, pa čeprav sta pravici omejeni v nujnem obsegu zaradi zavarovanja interesov delodajalca. ESČP je poudarilo, da je pri ukrepih za spremljanje korespondence in druge komunikacije zaposlenih, potrebno ravnati skladno z načelom sorazmernosti in upoštevaje procesna jamstva, ki preprečujejo arbitrarnost delodajalca v konkretnih primerih. Zato je pri tehtanju med zakonitimi interesi delodajalca in pravico delavca do zasebnosti potrebno upoštevati kot relevantne naslednje faktorje:
- ali je bil delavec vnaprej obveščen s strani delodajalca o možnosti spremljanja oziroma nadzora njegove korespondence oziroma komunikacije in o implementaciji takšnih ukrepov; (obvestilo delodajalca o nadzoru in ukrepih, ki se izvajajo, bi moralo biti jasno in dano vnaprej, da je pregled in nadzor zakonit);
- obseg nadzornih ukrepov, ki jih izvaja delodajalec (potrebna je ugotovitev, ali se spremljajo le prometni podatki ali pa se morebiti pregleduje tudi vsebina delavčevih sporočil; ali se pregledujejo vse komunikacije ali le del, časovne omejitve spremljanja, število oseb, ki ima dostop do teh podatkov);
- ali je delodajalec utemeljil legitimne razloge, ki upravičujejo pregled komunikacij in dostop do njihove vsebine (pregled vsebine, kot bolj invazivna metoda, zahteva večjo utemeljitev za dopustnost delodajalčevih posegov v pravico do zasebnosti delavca);
- ali bi bilo mogoče vzpostaviti pregledovanje oziroma nadzor z manj vsiljivimi metodami in ukrepi kot z neposrednim dostopom do vsebine komunikacij (to je v skladu z zahtevo, da mora biti obdelava podatkov sorazmerna, potrebna in ne prekomerna);
- posledice nadzora za delavca in za kakšne namene delodajalec uporabi rezultate nadzora (zlasti je potrebno presoditi, ali so lahko rezultati nadzora in pregleda po vsebini sploh uporabljeni za dosego cilja nadzora, kot je bil opredeljen);
- ali je imel delavec na voljo zadostna varovala (zlasti v primerih, kjer je nadzor zelo vsiljiv; na tem mestu je ESČP opozorilo, da delodajalec ne sme dostopati do vsebine sporočil, razen če je bil delavec o tem vnaprej obveščen).
Upoštevanje vseh zgoraj navedenih faktorjev in ocena konkretnega posega v pravico do zasebnosti delavca naj bi omogočali oceno, ali je ukrep nadzora in pregleda v konkretnem primeru zakonit.
ESČP je v konkretni zadevi odločilo, da naj bi bila kršena pravica delavca do zasebnosti po členu 6 Evropske konvencije o človekovih pravicah, ker naj nacionalno sodišče ne bi napravilo zadostne analize, ali so izpolnjeni zgornji kriteriji za dopustnost posega delodajalca v pravico delavca do zasebnosti. Nacionalna sodišča so sicer navedla, da je delodajalec imel upravičen interes za nadzor korespondence delavca zaradi potrebe po zaščiti IT sistema oziroma za preprečitev, da bi bilo podjetje odgovorno v primeru nelegalnih aktivnosti v kibernetskem prostoru ali da bi bile razkrite poslovne skrivnosti podjetja. Vendar pa je ESČP zaključilo, da so pri tehtanju med poštenim ravnovesjem med pravicami delavca in delodajalca, nacionalna sodišča ravnala formalistično in teoretično, in bi morala oceniti konkreten poseg v delavčevo pravico do zasebnosti z vidika vseh zgoraj navedenih faktorjev oziroma kriterijev.
Glede na sodbo ESČP v zadevi Barbulescu proti Romuniji bo torej v vsakem konkretnem primeru potrebno tehtanje med interesom delodajalca, da zagotovi normalno delovanje podjetja, in interesom delavca do varovanja njegove zasebnosti na delovnem mestu. Tehtanje bo potrebno opraviti z vidika vseh zgoraj opredeljenih kriterijev, pri čemer bo legitimen interes delodajalca do pregledovanja in nadzora nad elektronskimi komunikacijami delavca izkazan le v obsegu, kolikor zakoniti interesi delodajalca prevladajo nad pravico delavca do (komunikacijske) zasebnosti na delovnem mestu. Pri tem pa se ne sme pozabiti, da tudi oseba, ki pošlje sporočilo (zasebne narave) delavcu, ki je podvržen nadzoru s strani delodajalca, po Ustavi RS uživa pravico do komunikacijske zasebnosti, in torej delodajalec s pregledovanjem vsebine elektronskega sporočila, ki ga prejme delavec, lahko neutemeljeno poseže tudi v pravice tretjih oseb.
Iz vsega navedenega izhaja, da morajo biti delodajalci izjemno previdni v primerih pregledovanja sporočil zaposlenih, ko slednji komunicirajo z uporabo sredstev informacijske in komunikacijske tehnologije. Sama prepoved, da zaposleni ne sme uporabljati sredstev delodajalca za zasebne namene (pa čeprav je takšna prepoved določena v pravilnikih ali podobnih internih aktih delodajalca), namreč sama po sebi ne predstavlja zadostne (zakonite) podlage za spremljanje in pregledovanje sporočil zaposlenih in je tudi v teh primerih lahko nezakonito poseženo v pravico do komunikacijske zasebnosti posameznika. Zato je nujno preveriti, ali interni akti delodajalcev oziroma sporazumi med delodajalci in delavci, ki dovoljujejo spremljanje in pregled telefonskih klicev, elektronske pošte in druge komunikacije zaposlenega, izpolnjujejo (med drugim) tudi kriterije za poseg v pravico delavca do zasebnosti, kot jih je opredelilo ESČP v svoji nedavni sodbi Barbulescu v. Romunija. V kolikor namreč pogoji za poseg v pravico delavca do zasebnosti niso izpolnjeni, je ravnanje delodajalca nezakonito in lahko predstavlja kaznivo dejanje, delodajalec pa bo lahko izpostavljen negativnim sankcijam s tem v zvezi. Tudi dosedanja praksa informacijskega pooblaščenca je skladna z nedavno sodbo ESČP oziroma v nekaterih aspektih celo nekoliko strožja, zato priporočamo, da delodajalci temeljito preverijo skladnost svojih politik s predpisi varstva osebnih podatkov in komunikacijske zasebnosti.