Monitoring poczty elektronicznej oraz inne formy monitoringu pracowników
Monitorowanie pracowników – zarówno za pomocą kamer, jak i systemów informatycznych – dotychczas stanowiło obszar nieuregulowany w polskich przepisach prawa. RODO przyspieszyło temat unormowania tego obszaru przez polskiego ustawodawcę. Wraz z RODO weszła w życie polska ustawa o ochronie danych osobowych wprowadzająca m.in. nowelizację przepisów prawa pracy. Kodeks pracy został rozszerzony o regulację odnoszącą się do monitoringu wizyjnego w zakładzie pracy, monitoringu służbowej poczty elektronicznej oraz innych form monitoringu pracowników.
- Rafał Stępniewski
- /
- 16 października 2018
Monitorowanie pracowników – zarówno za pomocą kamer, jak i systemów informatycznych – dotychczas stanowiło obszar nieuregulowany w polskich przepisach prawa. RODO przyspieszyło temat unormowania tego obszaru przez polskiego ustawodawcę. Wraz z RODO weszła w życie polska ustawa o ochronie danych osobowych wprowadzająca m.in. nowelizację przepisów prawa pracy. Kodeks pracy został rozszerzony o regulację odnoszącą się do monitoringu wizyjnego w zakładzie pracy, monitoringu służbowej poczty elektronicznej oraz innych form monitoringu pracowników.
Co łączy kontrolę pracowników za pomocą np. monitorowania służbowej poczty elektronicznej lub śledzenia lokalizacji GPS służbowego auta z przetwarzaniem danych osobowych? Zgodnie z definicją wyrażoną w art. 4 pkt 1 RODO, dane osobowe to wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. W przypadku pracodawcy osoba, której dane dotyczą – czyli pracownik – będzie osobą zidentyfikowaną, a informacje o niej uzyskane w wyniku kontroli będą stanowiły dane osobowe.
W definicji wskazano wprost, że do kategorii danych osobowych należą w szczególności dane o lokalizacji, a także jeden bądź kilka czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej. Te czynniki mogą wynikać z innych form monitoringu pracowników. Przykładowo monitoring lokalizacji auta służbowego może być podstawą do wywnioskowania informacji o sposobie prowadzenia pojazdu przez pracownika. Natomiast zastosowanie biometrii do kontroli dostępu pracowników do szczególnie chronionych obszarów w zakładzie pracy będzie wiązało się z przetwarzaniem informacji o ich czynnikach fizjologicznych.
Podstawa prawna monitoringu pracowników
Na podstawie art. 111 ustawy z 10 maja 2018 roku o ochronie danych osobowych do kodeksu pracy zostały dodane dwa przepisy:
- art. 222, który nie tylko wskazuje warunki dopuszczalności stosowania monitoringu wizyjnego w zakładzie pracy, ale również wytyczne dla pracodawców stosujących różne formy monitoringu pracowników w zakresie: formy określenia zakresu, celu i sposobu stosowania monitoringu, okresu przechowywania danych uzyskanych w toku monitoringu, obowiązków informacyjnych wobec pracowników – a w określonych przypadkach również wobec osób trzecich,
- art. 223, który reguluje stosowanie monitoringu poczty elektronicznej pracownika oraz innych form monitoringu.
Dopuszczalność stosowania monitoringu poczty pracowników
Jeśli chodzi o monitoring poczty elektronicznej, to na podstawie art. 223 § 1 Kodeksu pracy, przesłankami do jego zastosowania jest niezbędność zapewnienia:
- organizacji pracy umożliwiającej pełne wykorzystanie czasu pracy,
- właściwego użytkowania udostępnionych pracownikowi narzędzi pracy.
Oznacza to, że pracodawca może zgodnie z prawem kontrolować pocztę służbową pracowników wyłącznie, gdy może powołać się na co najmniej jeden z powyżej wskazanych powodów.
Zapewnienie organizacji pracy umożliwiającej pełne wykorzystanie czasu pracy może być związane z kontrolowaniem, czy pracownik nie otrzymał zbyt wielu zadań, których nie jest w stanie wykonać w określonym czasie. Monitoring poczty elektronicznej pracownika w tym zakresie będzie więc służył właściwemu podziałowi obowiązków w zakładzie pracy.
Zapewnienie właściwego użytkowania udostępnionych pracownikowi narzędzi pracy wiąże się na przykład z kontrolowaniem tego, czy prawnik nie wykorzystuje sprzętu służbowego do celów prywatnych, czy nie korzysta z zabronionych stron internetowych czy innych witryn, które nie służą wykonywaniu obowiązków służbowych.
możemy Ci pomóc w analizie i zgłoszeniu do UODOWyciekły w Twojej firmie dane osobowe
Zakaz naruszania tajemnicy korespondencji
Istnieje jeszcze jeden warunek dopuszczalności monitoringu poczty elektronicznej pracowników. Zgodnie z art. 223 § 1 Kodeksu pracy kontrola skrzynek mailowych pracowników nie może naruszać:
- tajemnicy korespondencji,
- innych dóbr osobistych pracownika.
Obowiązek zachowania tajemnicy korespondencji w stosunkach służbowych może powodować wątpliwości praktyczne. Trudno bowiem mówić o tajemnicy korespondencji w zakresie e-maili związanych z wykonywaniem pracy na polecenie pracodawcy. Jednakże zakaz naruszania tajemnicy korespondencji w istocie dotyczy przede wszystkim prywatnych e-maili wysyłanych ze służbowego konta pocztowego. Zakaz ten oznacza, że jeśli pracodawca znalazłby w skrzynce służbowej prywatną korespondencję pracownika, nie może zapoznawać się z nią w całości. Zakaz naruszania tajemnicy korespondencji przez pracodawcę obowiązuje nawet wtedy, gdy regulamin pracy wprowadza zakaz korzystania z poczty służbowej dla celów prywatnych, a pracownik się do niego nie zastosował.
Z perspektywy pracownika najlepszym rozwiązaniem zdaje się nieużywanie poczty służbowej do celów prywatnych, a jeśli już zajdzie taka konieczność, należy odpowiednio oznaczyć taką wiadomość, np. w tytule, aby pracodawca nie otwierał takiej korespondencji.
Zakaz kontrolowania poczty prywatnej pracownika
Z zakazem naruszania tajemnicy korespondencji pracownika wiąże się jeszcze inny zakaz. Pracodawca nie może kontrolować prywatnej skrzynki poczty elektronicznej swojego pracownika, nawet jeśli korzystałby z niej za pomocą sprzętu służbowego.
Brak jest podstawy prawnej, która uzasadniałaby takie działanie. Ponadto zostało to wyraźnie wskazane w poradniku wydanym 4 października 2018 roku przez Prezesa Urzędu Ochrony Danych Osobowych: „Ochrona danych osobowych w miejscu pracy. Poradnik dla pracodawców”.
Inne formy monitoringu pracowników
Wyżej wskazane przesłanki dopuszczalności monitoringu poczty elektronicznej stosuje się odpowiednio do innych form monitoringu pracowników. Przepis 223 § 4 Kodeksu pracy wskazujący na inne formy monitoringu obejmuje w szczególności monitoring wykorzystujący nowe technologie, na przykład biometrię albo GPS. Pod ten przepis będzie podlegało także kontrolowanie telefonów służbowych pracownika w zakresie przeprowadzonych rozmów oraz wysłanych z telefonu wiadomości sms.
Przetwarzanie danych biometrycznych przez pracodawcę
Pracodawca może przetwarzać dane biometryczne pracownika wyłącznie w szczególnie uzasadnionym przypadku. Do takich przypadków należy konieczność ograniczenia dostępu do miejsc, w których pracodawca może wymagać specjalnych uprawnień ze względu na tajemnicę przedsiębiorstwa lub fachowych umiejętności potrzebnych do wejścia na teren chronionych obszarów.
Z kolei wbrew zasadzie proporcjonalności byłoby wykorzystywanie technologii biometrycznych w celu ewidencjonowania czasu pracy pracowników. Zgodnie z wytycznymi PUODO, pracodawcy nie mogą sprawdzać obecności pracowników na przykład poprzez zobowiązanie ich do składania odcisku palca w celu ich każdorazowej identyfikacji.
Monitorowanie lokalizacji pracownika
Urządzenia takie jak telefony i inne sprzęty elektroniczne, które pracownik otrzymuje od pracodawcy, a także służbowe samochody mogą być wyposażone w lokalizatory GPS. Zakazane jest pełne monitorowanie sprzętu służbowego pracownika. Nie można na przykład monitorować lokalizacji pracownika po zakończeniu dnia pracy w celu uzyskania o nim dodatkowych informacji. Zgodnie z zasadą domyślnej ochrony danych, każdy taki sprzęt przekazywany pracownikowi do użytku służbowego powinien mieć domyślnie zainstalowane ustawienia prywatne, aby pełne informacje o lokalizacji pracownika nie trafiały cały czas do pracodawcy.
Obowiązki pracodawcy związane ze stosowaniem monitoringu
W zakresie regulacji monitoringu poczty elektronicznej pracownika oraz innych form monitoringu mają odpowiednie zastosowanie przepisy o monitoringu wizyjnym (art. 223 § 3 i 4 Kodeksu pracy). Obowiązki informacyjne pracodawcy są tożsame z obowiązkami, jakie zostały na pracodawcę nałożone w przypadku wprowadzenia monitoringu wizyjnego.
Pracodawca, który chce wprowadzić monitoring powinien określić jego cele, zakres oraz sposób zastosowania monitoringu. Informacje te powinny zostać podane we właściwym akcie wewnętrznym pracodawcy: układzie zbiorowym pracy, regulaminie pracy lub obwieszczeniu pracodawcy, w zależności od tego, czy pracodawca jest objęty układem lub zobowiązany do opracowania regulaminu pracy.
Informacje o wprowadzeniu monitoringu poczty elektronicznej lub innej formy monitoringu pracodawca podaje nie później niż na 2 tygodnie przed jego uruchomieniem, a nowym pracownikom – każdorazowo przed dopuszczeniem ich do pracy.
Dane uzyskane w wyniku monitoringu pracowników mogą być przetwarzane maksymalnie przez okres 3 miesięcy od dnia ich pozyskania, chyba że stanowią lub mogą stanowić dowód w postępowaniu prowadzonym na podstawie przepisów prawa.
Obowiązek przeprowadzenia oceny skutków przetwarzania dla ochrony danych
Monitoring poczty elektronicznej pracowników, a także inne formy monitoringu pracowników będą wiązały się z wykorzystaniem nowych technologii, w szczególności systemów informatycznych stosowanych w kontroli pracowników. Tego typu przetwarzanie danych często wiąże się z wysokim ryzykiem dla praw i wolności osób, których dane dotyczą.
Każdy pracodawca, który zdecyduje się na szeroko pojęty monitoring pracowników, przed jego zastosowaniem będzie musiał rozważyć, czy podlega obowiązkom wynikającym z art. 35 RODO. Administrator zobligowany jest do przeprowadzenia oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych przed rozpoczęciem przetwarzania, kiedy dany rodzaj przetwarzania (w szczególności z użyciem nowych technologii) ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych.
Wskazówką dla administratorów, czy planowane operacje podlegają obowiązkowi przeprowadzenia oceny skutków przetwarzania powinien być komunikat w tym zakresie wydany przez Prezesa Urzędu Ochrony Danych Osobowych .
Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Jeśli chcesz być na bieżąco
z informacjami za zakresu bezpieczeństwa, zapraszamy do naszego serwisu
ponownie!
Jeżeli
podobał Ci się artykuł podziel się z innymi udostępniając go w mediach
społecznościowych.
Potrzebujesz wsparcia lub szukasz rozwiązań w zakresie zagadnienia, o którym mowa w artykule?