Monitoring aktywności osób wykonujących pracę na rzecz przedsiębiorstwa jest dziś powszechnym narzędziem zarządzania ryzykiem, bezpieczeństwem danych oraz organizacją pracy. Kodeks pracy dopuszcza stosowanie monitoringu, jednak wyłącznie w ściśle określonych granicach. Pracodawca, podejmując decyzję o jego wdrożeniu, musi brać pod uwagę nie tylko przepisy prawa pracy (art. 22² Kodeksu pracy), lecz także regulacje RODO dotyczące przetwarzania danych osobowych oraz cywilnoprawną ochronę dóbr osobistych pracownika.
W artykule przeczytasz o:
- zasadach dopuszczalnego monitoringu poczty służbowej i narzędzi pracowniczych,
- obowiązkach informacyjnych pracodawcy wynikających z Kodeksu pracy i RODO,
- granicach monitorowania pracowników oraz współpracowników B2B,
- ryzykach prawnych związanych z naruszeniem prywatności i ochrony danych osobowych.
Monitoring poczty służbowej – kiedy jest dopuszczalny?
Artykuł 22³ Kodeksu pracy mówi, że pracodawca może sprawdzać służbową pocztę e-mail pracownika wyłącznie w uzasadnionych przypadkach – wtedy, gdy jest to konieczne do sprawnego funkcjonowania organizacji pracy oraz do tego, aby narzędzia służbowe były używane zgodnie z ich przeznaczeniem. Wymienione przesłanki muszą być spełnione łącznie. Oznacza to, że monitoring poczty nie może być wprowadzony tylko w celu kontroli zachowania pracownika lub prewencyjnego przeglądania jego korespondencji.
Jednocześnie ustawodawca wyraźnie wskazuje, że monitoring nie może naruszać tajemnicy korespondencji ani innych dóbr osobistych pracownika. Ograniczenie to wynika nie tylko z art. 22³ § 4 Kodeksu pracy, lecz także z art. 23 i 24 Kodeksu cywilnego, które chronią prawo do prywatności.
Uwaga!
Nawet jeśli korzystanie z poczty służbowej do celów prywatnych jest w firmie zakazane, nie oznacza to automatycznie prawa pracodawcy do zapoznawania się z treścią wiadomości.
Wdrożenie monitoringu – obowiązki informacyjne pracodawcy
Kodeks pracy wprost nakłada na pracodawcę obowiązek określenia celu, zakresu oraz sposobu stosowania monitoringu. Informacje te powinny zostać uregulowane w aktach wewnątrzzakładowych, takich jak regulamin pracy, regulamin pracy zdalnej lub obwieszczenie (art. 22² § 6 Kodeksu pracy).
Pracownicy muszą zostać poinformowani o planowanym monitoringu z odpowiednim wyprzedzeniem – nie później niż 2 tygodnie przed jego uruchomieniem. W przypadku nowo zatrudnionych osób obowiązek informacyjny musi zostać zrealizowany najpóźniej w dniu dopuszczenia ich do pracy (art. 22² § 7-8 Kodeksu pracy).
Ważne
Brak wcześniejszego poinformowania pracownika powoduje, że monitoring – nawet jeśli służy uzasadnione mu celowi – może zostać uznany za bezprawny.
Monitoring a RODO – przetwarzanie danych osobowych
Dane pozyskiwane w ramach monitoringu aktywności użytkowników, takie jak informacje o:
- czasie pracy,
- używanych aplikacjach,
- logach systemowych,
bardzo często stanowią dane osobowe w rozumieniu RODO. W konsekwencji pracodawca, jako administrator danych, zobowiązany jest do stosowania zasad przetwarzania danych osobowych, w szczególności zasady minimalizacji danych oraz ograniczenia celu (art. 5 ust. 1 lit. b i c RODO).
Podstawą prawną przetwarzania danych w ramach monitoringu jest zazwyczaj obowiązek prawny wynikający z przepisów prawa pracy lub prawnie uzasadniony interes administratora, polegający m.in. na ochronie mienia, danych i zapewnieniu cyberbezpieczeństwa (art. 6 ust. 1 lit. c i f RODO).
RODO nakłada również obowiązek przekazania osobom objętym monitoringiem szczegółowych informacji dotyczących przetwarzania ich danych osobowych (art. 13 i 14 RODO), ujęcia monitoringu w rejestrze czynności przetwarzania (art. 30 RODO), a w przypadku podwyższonego ryzyka – przeprowadzenia oceny skutków dla ochrony danych (art. 35 RODO).
Monitoring współpracowników B2B
W odniesieniu do osób współpracujących na podstawie umów B2B nie stosuje się przepisów Kodeksu pracy, jednak monitoring ich aktywności nadal musi pozostawać zgodny z RODO oraz przepisami o ochronie dóbr osobistych. Przetwarzanie danych współpracowników opiera się co do zasady na prawnie uzasadnionym interesie administratora (art. 6 ust. 1 lit. f RODO), przy zachowaniu zasady proporcjonalności.
Monitoring współpracowników powinien wynikać wprost z umowy lub regulaminów wewnętrznych i dotyczyć wyłącznie służbowych narzędzi udostępnionych przez przedsiębiorcę. Naruszenie prywatności współpracownika może skutkować odpowiedzialnością cywilną na podstawie art. 23 i 24 Kodeksu cywilnego.
Masz pytania dotyczące tego zagadnienia? Skontaktuj się z nami: kancelaria@rpms.pl.
Dopuszczalne i niedopuszczalne formy monitoringu
W granicach wyznaczonych przez art. 22² i 22³ Kodeksu pracy dopuszczalne jest m.in.:
- monitorowanie aktywności na służbowych urządzeniach,
- kontrola służbowej poczty elektronicznej w zakresie niezbędnym do realizacji celu,
- rejestracja podłączanych nośników danych.
Każdorazowo zakres tych działań musi być oceniany przez pryzmat zasady minimalizacji danych wynikającej z art. 5 RODO.
Niedopuszczalne pozostaje natomiast nagrywanie dźwięku, uruchamianie kamer internetowych bez zgody czy ingerencja w prywatną komunikację, co mogłoby stanowić naruszenie dóbr osobistych chronionych przez Kodeks cywilny.
Ryzyka prawne dla pracodawcy
Naruszenie zasad monitorowania może prowadzić do odpowiedzialności administracyjnej na gruncie RODO, w tym do nałożenia kar pieniężnych (art. 82 RODO), a także do odpowiedzialności cywilnej za naruszenie dóbr osobistych pracownika lub współpracownika. Dodatkowo pracodawca naraża się na konsekwencje wynikające z kontroli Państwowej Inspekcji Pracy oraz ewentualne spory przed sądem pracy. Jeżeli jesteś pracodawcą i chcesz uniknąć takich problemów, zgłoś się i poznaj naszą ofertę w zakresie prawa pracy i HR.
Jak kancelaria RMPS może pomóc?
Prawidłowe wdrożenie monitoringu aktywności pracowników i współpracowników wymaga połączenia przepisów prawa pracy, RODO oraz praktyki organizacyjnej. Kancelaria RMPS wspiera pracodawców i przedsiębiorców m.in. poprzez:
- opracowanie i aktualizację dokumentacji wewnętrznej, w tym regulaminów pracy, regulaminów pracy zdalnej, regulaminów korzystania z narzędzi IT, polityk monitoringu oraz klauzul informacyjnych RODO,
- doradztwo prawne przy planowaniu i wdrażaniu monitoringu, obejmujące ocenę dopuszczalności poszczególnych form kontroli, dobór właściwej podstawy prawnej przetwarzania danych oraz analizę ryzyk naruszenia dóbr osobistych,
- sporządzanie opinii prawnych dotyczących zgodności stosowanych lub planowanych narzędzi monitorujących z przepisami Kodeksu pracy, regulacjami RODO oraz aktualnym orzecznictwem sądów i stanowiskami organów nadzorczych,
- bieżące wsparcie w postępowaniach kontrolnych i spornych, w tym w toku kontroli Państwowej Inspekcji Pracy, postępowań prowadzonych przez Prezesa UODO, a także w sprawach sądowych z zakresu prawa pracy i ochrony dóbr osobistych.
Nasze doświadczenie pokazuje, że nieprawidłowo zaprojektowany monitoring bardzo często staje się źródłem konfliktów – zarówno na etapie kontroli, jak i w relacjach z pracownikami. Konsultacja rozwiązań jeszcze przed ich wdrożeniem pozwala ograniczyć to ryzyko i uniknąć kosztownych korekt w przyszłości. W razie wątpliwości co do zgodności stosowanych praktyk z obowiązującymi przepisami, zasadna może okazać się wcześniejsza analiza przeprowadzona przez zespół kancelarii RMPS.
Monitoring poczty służbowej – podstawy prawne i cele takich działań
Pracodawcy, którzy decydują się na monitorowanie swoich pracowników, najczęściej sprawdzają pocztę służbową. Przepisy, które regulują tę problematykę, zostały przedstawione w art. 22(3) Kodeksu Pracy. Przepis ten jasno określa cele, dla których pracodawca może zdecydować się na monitoring skrzynki mailowej swojego pracownika, wskazując, że takie działania mogą być podjęte tylko wtedy, kiedy są niezbędne do zapewnienia organizacji pracy, umożliwiającej pełne i efektywne wykorzystanie czasu pracy. Dodatkowo ma to pomóc w sprawdzeniu, czy przekazane pracownikowi narzędzia pracy są właściwie użytkowane.
Warto tutaj podkreślić, że możliwość stosowania monitoringu pracowniczej poczty elektronicznej jest uzależniona od łącznego spełnienia wyżej wymienionych przesłanek. Oznacza to, że pracodawca nie może monitorować poczty elektronicznej pracownika, jeśli swoje działania będzie uzasadniać tylko jedną z w/w przesłanek. Dodatkowo nie może również wykorzystać monitoringu, jeśli chce zrealizować inne potrzeby przedsiębiorstwa.
Monitoring poczty służbowej pracownika – jak zgodnie z prawem wprowadzić go w firmie?
Chcesz wprowadzić monitoring poczty i narzędzi pracowniczych? Sprawdź, jak zrobić to prawidłowo:
- Pracodawca, który chce wprowadzić monitoring poczty służbowej pracownika musi określić cele, zakres oraz sposób, w jaki zastosowany zostanie monitoring. Wspomniane ustalenia należy ogłosić w układzie zbiorowym pracy, regulaminie pracy albo w obwieszczeniu, jeśli pracodawca nie jest objęty układem zbiorowym pracy albo nie musi ustalać regulaminu pracy. Zastosowanie ma tutaj art. 22 (2) § 6 Kodeksu Pracy.
- Pracodawca ma obowiązek poinformować pracowników o wprowadzeniu monitoringu nie później niż 2 tygodnie przed jego uruchomieniem (22 (2) § 7 Kodeksu Pracy). Ważne tutaj jest, że monitoring elektronicznej poczty służbowej pracownika przed pojawieniem się informacji o zamiarze wprowadzenia takich działań przez pracodawcę będzie naruszeniem prawa.
- Pracodawca, który dopuszcza nowego pracownika do pracy, zobowiązany jest do poinformowania go na piśmie o celach oraz zakresie i sposobie stosowania monitoringu w pracy (zastosowanie: 22 (2) § 8 Kodeksu Pracy).
Monitoring poczty elektronicznej – orzeczenie ETPC
W wyroku w sprawie Bărbulescu przeciwko Rumunii ETPC uznał, że sam zakaz używania służbowej poczty do celów prywatnych nie wystarcza, by pracodawca mógł swobodnie czytać wiadomości pracownika. Kluczowe jest wcześniejsze, jasne poinformowanie o możliwości monitoringu oraz jego zakresie. Trybunał podkreślił też, że kontrola poczty służbowej musi być uzasadniona i proporcjonalna.
Monitoring poczty i narzędzi pracowniczych – podsumowanie
Monitoring poczty i narzędzi pracowniczych to rozwiązanie coraz powszechniej stosowane w wielu firmach. Decydując się na taki krok, należy pamiętać o kilku istotnych kwestiach, które pozwolą pracodawcy mieć pewność, że w myśl obowiązujących przepisów prawa, nie narusza on prywatności pracowników.
Na koniec dzisiejszego wpisu znajdziesz kilka praktycznych wskazówek:
- zastosowanie monitoringu poczty elektronicznej musi odnosić się jedynie do służbowej poczty;
- jako pracodawca musisz skutecznie poinformować swoich pracowników, że wprowadziłeś i stosujesz monitoring poczty służbowej;
- każdą informację o stosowaniu monitoringu poczty elektronicznej przekazaną pracownikowi, nawet ustnie, należy udokumentować (w myśl tzw. zasady rozliczalności RODO), np. sporządzają notatkę służbową, która zostanie podpisana przez pracownika. Dotyczy to również nowo zatrudnionych pracowników. Musisz ich poinformować o monitoringu najpóźniej w dniu dopuszczenia do pracy (w tym wypadku pisemną informację, którą podpisał nowy pracownik, umieszczasz w jego aktach osobowych).
Na sam koniec – musisz wiedzieć, że Kodeks Pracy dopuszcza obecnie wiele form monitorowania aktywności pracowników. Pamiętaj jednak, że bez względu na rodzaj czynności kontrolnych, jaki będziesz wykonywał, zawsze musisz kierować się zasadą poszanowania dóbr osobistych pracownika, a w szczególności prawa do prywatności. Co więcej, jako pracodawca musisz przede wszystkim stosować prawidłowo zasady przetwarzania danych osobowych oraz realizować pozostałe obowiązki administratora danych osobowych, o których mowa w przepisach RODO.
FAQ
Czy pracodawca może przeglądać maile pracownika?
Pracodawca, który nie będzie szanował prywatności swoich pracowników i uzyska dostęp do ich prywatnej korespondencji może narazić się na roszczenia dotyczące naruszenia dóbr osobistych. Na tej podstawie pracownik może domagać się od pracodawcy zadośćuczynienia pieniężnego albo wpłatę określonej kwoty na cel społeczny.
Czy pracodawca może objąć monitoringiem treści rozmów ze służbowych telefonów?
Pracodawca co do zasady powinien uzyskać zgodę od pracownika, jeśli chce zastosować monitoring w formie sprawdzania rozmów telefonicznych czy monitoringu poczty elektronicznej. Pamiętaj, że zgoda nie może być domniemana albo dorozumiana z oświadczenia woli, które ma inną treść.
Czy monitoring wymaga zgody pracownika?
Co do zasady nie, jeżeli opiera się na przepisach prawa lub prawnie uzasadnionym interesie pracodawcy, o którym mowa w art. 6 ust. 1 lit. c i f RODO.
Czy te same zasady obowiązują przy współpracy B2B?
Nie wprost, jednak również w tym przypadku zastosowanie mają przepisy RODO oraz regulacje dotyczące ochrony dóbr osobistych (art. 23-24 Kodeksu cywilnego). Monitorowanie aktywności pracowników w miejscu pracy to coraz powszechniejsza praktyka. Pracodawcy stosują narzędzia rejestrujące działania zatrudnionych osób, podkreślając, że robią to w trosce o zabezpieczenie swojego interesu, w szczególności jeśli chodzi o prawidłowość wykorzystania narzędzi pracy, czy ochronę tajemnicy przedsiębiorstwa. Działania pracodawców związane z monitoringiem mogą jednak ingerować w prywatność pracowników, dlatego właściciele firm powinni wdrażać je ze szczególną ostrożnością, uwzględniając obowiązujące regulacje prawne, w tym również przepisy RODO.
