Monitoring poczty elektronicznej oraz inne formy monitoringu pracowników

Monitorowanie pracowników – zarówno za pomocą kamer, jak i systemów informatycznych – dotychczas stanowiło obszar nieuregulowany w polskich przepisach prawa. RODO przyspieszyło temat unormowania tego obszaru przez polskiego ustawodawcę. Wraz z RODO weszła w życie polska ustawa o ochronie danych osobowych wprowadzająca m.in. nowelizację przepisów prawa pracy. Kodeks pracy został rozszerzony o regulację odnoszącą się do monitoringu wizyjnego w zakładzie pracy, monitoringu służbowej poczty elektronicznej oraz innych form monitoringu pracowników.

Monitoring poczty elektronicznej oraz inne formy monitoringu pracowników

Rafał Stępniewski

16 października 2018

Monitorowanie pracowników – zarówno za pomocą kamer, jak i systemów informatycznych – dotychczas stanowiło obszar nieuregulowany w polskich przepisach prawa. RODO przyspieszyło temat unormowania tego obszaru przez polskiego ustawodawcę. Wraz z RODO weszła w życie polska ustawa o ochronie danych osobowych wprowadzająca m.in. nowelizację przepisów prawa pracy. Kodeks pracy został rozszerzony o regulację odnoszącą się do monitoringu wizyjnego w zakładzie pracy, monitoringu służbowej poczty elektronicznej oraz innych form monitoringu pracowników.

Co łączy kontrolę pracowników za pomocą np. monitorowania służbowej poczty elektronicznej lub śledzenia lokalizacji GPS służbowego auta z przetwarzaniem danych osobowych? Zgodnie z definicją wyrażoną w art. 4 pkt 1 RODO, dane osobowe to wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. W przypadku pracodawcy osoba, której dane dotyczą – czyli pracownik – będzie osobą zidentyfikowaną, a informacje o niej uzyskane w wyniku kontroli będą stanowiły dane osobowe.

W definicji wskazano wprost, że do kategorii danych osobowych należą w szczególności dane o lokalizacji, a także jeden bądź kilka czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej. Te czynniki mogą wynikać z innych form monitoringu pracowników. Przykładowo monitoring lokalizacji auta służbowego może być podstawą do wywnioskowania informacji o sposobie prowadzenia pojazdu przez pracownika. Natomiast zastosowanie biometrii do kontroli dostępu pracowników do szczególnie chronionych obszarów w zakładzie pracy będzie wiązało się z przetwarzaniem informacji o ich czynnikach fizjologicznych.

Podstawa prawna monitoringu pracowników

Na podstawie art. 111 ustawy z 10 maja 2018 roku o ochronie danych osobowych do kodeksu pracy zostały dodane dwa przepisy:

  • art. 222, który nie tylko wskazuje warunki dopuszczalności stosowania monitoringu wizyjnego w zakładzie pracy, ale również wytyczne dla pracodawców stosujących różne formy monitoringu pracowników w zakresie: formy określenia zakresu, celu i sposobu stosowania monitoringu, okresu przechowywania danych uzyskanych w toku monitoringu, obowiązków informacyjnych wobec pracowników – a w określonych przypadkach również wobec osób trzecich,
  • art. 223, który reguluje stosowanie monitoringu poczty elektronicznej pracownika oraz innych form monitoringu.

Dopuszczalność stosowania monitoringu poczty pracowników

Jeśli chodzi o monitoring poczty elektronicznej, to na podstawie art. 223 § 1 Kodeksu pracy, przesłankami do jego zastosowania jest niezbędność zapewnienia:

  • organizacji pracy umożliwiającej pełne wykorzystanie czasu pracy,
  • właściwego użytkowania udostępnionych pracownikowi narzędzi pracy.

Oznacza to, że pracodawca może zgodnie z prawem kontrolować pocztę służbową pracowników wyłącznie, gdy może powołać się na co najmniej jeden z powyżej wskazanych powodów.

Zapewnienie organizacji pracy umożliwiającej pełne wykorzystanie czasu pracy może być związane z kontrolowaniem, czy pracownik nie otrzymał zbyt wielu zadań, których nie jest w stanie wykonać w określonym czasie. Monitoring poczty elektronicznej pracownika w tym zakresie będzie więc służył właściwemu podziałowi obowiązków w zakładzie pracy.

Zapewnienie właściwego użytkowania udostępnionych pracownikowi narzędzi pracy wiąże się na przykład z kontrolowaniem tego, czy prawnik nie wykorzystuje sprzętu służbowego do celów prywatnych, czy nie korzysta z zabronionych stron internetowych czy innych witryn, które nie służą wykonywaniu obowiązków służbowych.

Zakaz naruszania tajemnicy korespondencji

Istnieje jeszcze jeden warunek dopuszczalności monitoringu poczty elektronicznej pracowników. Zgodnie z art. 223 § 1 Kodeksu pracy kontrola skrzynek mailowych pracowników nie może naruszać:

  • tajemnicy korespondencji,
  • innych dóbr osobistych pracownika.

Obowiązek zachowania tajemnicy korespondencji w stosunkach służbowych może powodować wątpliwości praktyczne. Trudno bowiem mówić o tajemnicy korespondencji w zakresie e-maili związanych z wykonywaniem pracy na polecenie pracodawcy. Jednakże zakaz naruszania tajemnicy korespondencji w istocie dotyczy przede wszystkim prywatnych e-maili wysyłanych ze służbowego konta pocztowego. Zakaz ten oznacza, że jeśli pracodawca znalazłby w skrzynce służbowej prywatną korespondencję pracownika, nie może zapoznawać się z nią w całości. Zakaz naruszania tajemnicy korespondencji przez pracodawcę obowiązuje nawet wtedy, gdy regulamin pracy wprowadza zakaz korzystania z poczty służbowej dla celów prywatnych, a pracownik się do niego nie zastosował.

Z perspektywy pracownika najlepszym rozwiązaniem zdaje się nieużywanie poczty służbowej do celów prywatnych, a jeśli już zajdzie taka konieczność, należy odpowiednio oznaczyć taką wiadomość, np. w tytule, aby pracodawca nie otwierał takiej korespondencji.

Zakaz kontrolowania poczty prywatnej pracownika

Z zakazem naruszania tajemnicy korespondencji pracownika wiąże się jeszcze inny zakaz. Pracodawca nie może kontrolować prywatnej skrzynki poczty elektronicznej swojego pracownika, nawet jeśli korzystałby z niej za pomocą sprzętu służbowego.

Brak jest podstawy prawnej, która uzasadniałaby takie działanie. Ponadto zostało to wyraźnie wskazane w poradniku wydanym 4 października 2018 roku przez Prezesa Urzędu Ochrony Danych Osobowych: „Ochrona danych osobowych w miejscu pracy. Poradnik dla pracodawców” .

Inne formy monitoringu pracowników

Wyżej wskazane przesłanki dopuszczalności monitoringu poczty elektronicznej stosuje się odpowiednio do innych form monitoringu pracowników. Przepis 223 § 4 Kodeksu pracy wskazujący na inne formy monitoringu obejmuje w szczególności monitoring wykorzystujący nowe technologie, na przykład biometrię albo GPS. Pod ten przepis będzie podlegało także kontrolowanie telefonów służbowych pracownika w zakresie przeprowadzonych rozmów oraz wysłanych z telefonu wiadomości sms.

Przetwarzanie danych biometrycznych przez pracodawcę

Pracodawca może przetwarzać dane biometryczne pracownika wyłącznie w szczególnie uzasadnionym przypadku. Do takich przypadków należy konieczność ograniczenia dostępu do miejsc, w których pracodawca może wymagać specjalnych uprawnień ze względu na tajemnicę przedsiębiorstwa lub fachowych umiejętności potrzebnych do wejścia na teren chronionych obszarów.

Z kolei wbrew zasadzie proporcjonalności byłoby wykorzystywanie technologii biometrycznych w celu ewidencjonowania czasu pracy pracowników. Zgodnie z wytycznymi PUODO, pracodawcy nie mogą sprawdzać obecności pracowników na przykład poprzez zobowiązanie ich do składania odcisku palca w celu ich każdorazowej identyfikacji.

Monitorowanie lokalizacji pracownika

Urządzenia takie jak telefony i inne sprzęty elektroniczne, które pracownik otrzymuje od pracodawcy, a także służbowe samochody mogą być wyposażone w lokalizatory GPS. Zakazane jest pełne monitorowanie sprzętu służbowego pracownika. Nie można na przykład monitorować lokalizacji pracownika po zakończeniu dnia pracy w celu uzyskania o nim dodatkowych informacji. Zgodnie z zasadą domyślnej ochrony danych, każdy taki sprzęt przekazywany pracownikowi do użytku służbowego powinien mieć domyślnie zainstalowane ustawienia prywatne, aby pełne informacje o lokalizacji pracownika nie trafiały cały czas do pracodawcy.

Obowiązki pracodawcy związane ze stosowaniem monitoringu

W zakresie regulacji monitoringu poczty elektronicznej pracownika oraz innych form monitoringu mają odpowiednie zastosowanie przepisy o monitoringu wizyjnym (art. 223 § 3 i 4 Kodeksu pracy). Obowiązki informacyjne pracodawcy są tożsame z obowiązkami, jakie zostały na pracodawcę nałożone w przypadku wprowadzenia monitoringu wizyjnego.

Pracodawca, który chce wprowadzić monitoring powinien określić jego cele, zakres oraz sposób zastosowania monitoringu. Informacje te powinny zostać podane we właściwym akcie wewnętrznym pracodawcy: układzie zbiorowym pracy, regulaminie pracy lub obwieszczeniu pracodawcy, w zależności od tego, czy pracodawca jest objęty układem lub zobowiązany do opracowania regulaminu pracy.

Informacje o wprowadzeniu monitoringu poczty elektronicznej lub innej formy monitoringu pracodawca podaje nie później niż na 2 tygodnie przed jego uruchomieniem, a nowym pracownikom – każdorazowo przed dopuszczeniem ich do pracy.

Dane uzyskane w wyniku monitoringu pracowników mogą być przetwarzane maksymalnie przez okres 3 miesięcy od dnia ich pozyskania, chyba że stanowią lub mogą stanowić dowód w postępowaniu prowadzonym na podstawie przepisów prawa.

Obowiązek przeprowadzenia oceny skutków przetwarzania dla ochrony danych

Monitoring poczty elektronicznej pracowników, a także inne formy monitoringu pracowników będą wiązały się z wykorzystaniem nowych technologii, w szczególności systemów informatycznych stosowanych w kontroli pracowników. Tego typu przetwarzanie danych często wiąże się z wysokim ryzykiem dla praw i wolności osób, których dane dotyczą.

Każdy pracodawca, który zdecyduje się na szeroko pojęty monitoring pracowników, przed jego zastosowaniem będzie musiał rozważyć, czy podlega obowiązkom wynikającym z art. 35 RODO. Administrator zobligowany jest do przeprowadzenia oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych przed rozpoczęciem przetwarzania, kiedy dany rodzaj przetwarzania (w szczególności z użyciem nowych technologii) ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych.

Wskazówką dla administratorów, czy planowane operacje podlegają obowiązkowi przeprowadzenia oceny skutków przetwarzania powinien być komunikat w tym zakresie wydany przez Prezesa Urzędu Ochrony Danych Osobowych .

Potrzebujesz wsparcia lub szukasz rozwiązań w zakresie zagadnienia
o którym mowa w akrtykule?

Udostępnij:

Popularne tematy

Blogi tematyczne

Prawo konsumenckie 2021
Blog prawny dla firm
Blog prawa e-commerce
Prawo konsumenckie
RODO Magazyn
Poradnik: wszystko o zgodzie RODO i obowiązkach informacyjnych RODO

Newsletter RODO

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślemy Ci powiadomienie o najważniejszych tematach prawnych. Dla subskrybentów newslettera przygotowujemy specjalne wydarzenia np. webinaria. Nie pożałujesz!