Przetwarzanie danych osobowych pracownika w ramach "innych form monitoringu"
Ramy prawne innych form monitoringu pracowników wyznaczają znowelizowane przepisy Kodeksu pracy (dalej „KP”), tj. art. 223 KP, zgodnie z którym jeżeli jest to niezbędne do zapewnienia organizacji pracy umożliwiającej pełne wykorzystanie czasu pracy oraz właściwego użytkowania udostępnionych pracownikowi narzędzi pracy, pracodawca może wprowadzić kontrolę służbowej poczty elektronicznej pracownika (monitoring poczty elektronicznej). Monitoring poczty elektronicznej nie może naruszać tajemnicy korespondencji oraz innych dóbr osobistych pracownika. Jednocześnie w/w przepisy stosuje się odpowiednio do innych form monitoringu niż monitoring poczty elektronicznej, jeśli ich zastosowanie jest konieczne do realizacji celów wskazanych powyżej (zapewnienie przez pracodawcę organizacji pracy umożliwiającej pełne wykorzystanie czasu pracy oraz właściwego użytkowania udostępnionych pracownikowi narzędzi pracy). Trzeba ponadto pamiętać, iż cele, zakres oraz sposób zastosowania w/w form monitoringu ustala się w układzie zbiorowym pracy lub w regulaminie pracy albo w obwieszczeniu, jeżeli pracodawca nie jest objęty układem zbiorowym pracy lub nie jest obowiązany do ustalenia regulaminu pracy. Dodatkowo pracodawca informuje pracowników o wprowadzeniu monitoringu, w sposób przyjęty u danego pracodawcy, nie później niż 2 tygodnie przed jego uruchomieniem. Pracodawca przed dopuszczeniem pracownika do pracy przekazuje mu na piśmie powyższe informacje. Potwierdzenie przyjęcia tej informacji powinna się znajdować w aktach osobowych pracownika. Zgodnie z rozporządzeniem dotyczącym akt osobowych, w części B akt osobowych mają się znaleźć dokumenty potwierdzające przekazanie pracownikowi informacji, a także oświadczenia pracowników potwierdzające zapoznanie się z dokumentami, z którymi pracodawca powinien pracownika zapoznać. Właśnie takim dokumentem jest informacja o monitoringu.
Z racji tego, że dane utrwalone w ramach realizacji innych form monitoringu będą stanowić dane osobowe, w zakresie ogólnych warunków związanych z ich przetwarzaniem zastosowanie znajdą również przepisy RODO. Przypomnijmy, iż zgodnie z art. 4 pkt. 1 RODO „dane osobowe” oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej, przy czym możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej. Bez wątpienia informacje takie jak imię i nazwisko, miejsce pracy oraz nr telefonu lub maila pracownika, dane pochodzące z GPS samochodu, ze skrzynki pocztowej pracownika, dane dotyczące położenia telefonu służbowego będącego w użytkowaniu przez pracownika, dane zawarte w autorespderze (wewnętrznym lub zewnętrznym), czy wreszcie dane informujące o sposobie wykorzystywania przez pracownika Internetu lub logowania się przez niego do systemu teleinformatycznego pracodawcy stanowią dane osobowe osób, których dane dotyczą, przy czym są tzw. dane zwykłej kategorii.
Aby przetwarzać takie dane, administrator danych osobowych musi posiadać przynajmniej jedną z przesłanek prawnych wskazanych w art. 6 RODO legalizujących proces przetwarzania, przy czym teoretycznie możliwe są tu dwa rozwiązania:
- Oparcie takiego przetwarzania na zgodnie pracownika;
- Wskazanie jako przesłanki przetwarzania prawnie uzasadnionego interesu administratora.
Pierwsze rozwiązanie nie nadaje się jako stabilna i wiarygodna podstawa przetwarzania w ramach wskazanych procesów. Pamiętajmy, iż aby można było uznać zgodę osoby, której dane dotyczą jako legalną podstawę przetwarzania danych, muszą zostać spełnione warunki „skutecznej zgody”. Warunki te wskazuje art. 7 RODO, a jego uzupełnieniem i jednocześnie rozszerzeniem jest treść motywów 32, 42 oraz 43 RODO. Gdyby na bazie wskazówek zawartych w powyższych zapisach chcieć skonkludować warunki skutecznej zgody, należałoby wskazać na następujące okoliczności jej wyrażenia:
Administrator musi być w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych.
- Administrator musi być w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych.
- Zgoda powinna być wyrażona w drodze jednoznacznej, potwierdzającej czynności, która wyraża odnoszące się do określonej sytuacji dobrowolne, świadome i jednoznaczne przyzwolenie osoby, których dane dotyczą.
- Aby wyrażenie zgody było świadome, osoba, której dane dotyczą, powinna znać przynajmniej tożsamość administratora oraz zamierzone cele przetwarzania danych osobowych.
- Zgoda powinna dotyczyć wszystkich czynności przetwarzania dokonywanych w tym samym celu lub w tych samych celach. Jeżeli przetwarzanie służy różnym celom, potrzebna jest zgoda na wszystkie te cele.
- Zgody nie uważa się za dobrowolną, jeżeli nie można jej wyrazić z osobna na różne operacje przetwarzania danych osobowych, mimo że w danym przypadku byłoby to stosowne, lub jeżeli od zgody uzależnione jest wykonanie umowy – w tym świadczenie usługi – mimo że do jej wykonania zgoda nie jest niezbędna.
- Oceniając, czy zgodę wyrażono dobrowolnie, w jak największym stopniu uwzględnia się, czy między innymi od zgody na przetwarzanie danych nie jest uzależnione wykonanie umowy, w tym świadczenie usługi, jeśli przetwarzanie danych osobowych nie jest niezbędne do wykonania tej umowy.
- Wyrażenie zgody nie należy uznawać za dobrowolne, jeżeli osoba, której dane dotyczą, nie ma rzeczywistego lub wolnego wyboru oraz nie może odmówić ani wycofać zgody bez niekorzystnych konsekwencji.
- Aby zapewnić dobrowolność, zgoda nie powinna stanowić ważnej podstawy prawnej przetwarzania danych osobowych w szczególnej sytuacji, w której istnieje wyraźny brak równowagi między osobą, której dane dotyczą, a administratorem.
- Osoba, której dane dotyczą, ma prawo w dowolnym momencie wycofać zgodę. Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem. Osoba, której dane dotyczą, jest o tym informowana, zanim wyrazi zgodę. Wycofanie zgody musi być równie łatwe jak jej wyrażenie.
- Osoba, której dane dotyczą, ma prawo w dowolnym momencie wycofać zgodę. Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem. Osoba, której dane dotyczą, jest o tym informowana, zanim wyrazi zgodę. Wycofanie zgody musi być równie łatwe jak jej wyrażenie.
O ile spełnienie przez pracodawcę warunków nr 1 – 6 nie wydaje się trudne, to pozostałe dyskwalifikują możliwość uznania zgody jako wiarygodnej przesłanki przetwarzania wskazanych powyżej danych osobowych pracownika w ramach innych form monitoringu. Dodatkowo należy pamiętać, iż zgodnie z opinią Prezesa UODO niedopuszczalna jest sytuacja, w której administrator wskazuje zgodę jako podstawę przetwarzania danych, jeśli mógłby lub powinien wybrać inną przesłankę przetwarzania danych osobowych. Tą inną przesłanką jest prawnie uzasadnionego interesu administratora, tj. art. 6 ust. 1 lit. f.) RODO. Dane te stanowią „dane służbowe” i nie wkraczają w sferę życia prywatnego pracowników. W tym kontekście należy jednak pamiętać, iż przyjęcie przez administratora zgody jako przesłanki przetwarzania nie jest bezwarunkowe. Przetwarzanie na podstawie art. 6 ust. 1 lit. f) RODO jest bowiem zgodne z prawem, jeśli:
- Jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią,
- Z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.
Oba powyższe warunki należy wypełnić (udowodnić) w ramach tzw. „testu równowagi”. Brak wykazania w/w warunków powoduje, że co prawda administrator prawidłowo wskazał samą przesłankę przetwarzania danych w danym procesie, jednak przetwarzanie danych jest nielegalne. Zgodnie z art. 222 KP (monitoring wizyjny), nagrania obrazu pracodawca może przetwarzać wyłącznie do celów, dla których zostały zebrane, i przechowywać przez okres nieprzekraczający 3 miesięcy od dnia nagrania. W przypadku, w którym nagrania obrazu stanowią dowód w postępowaniu prowadzonym na podstawie prawa lub pracodawca powziął wiadomość, iż mogą one stanowić dowód w postępowaniu, termin ten może ulec przedłużeniu do czasu prawomocnego zakończenia postępowania. Tego przepisu nie stosuje się jednak analogicznie w odniesieniu do pozostałych form monitoringu, co oznacza, że administrator musi samodzielnie wyznaczyć okresy retencji dla poszczególnych procesów monitorowania, przy czym muszą być one ustalone adekwatnie do celów, w jakich są przetwarzane, jednak nie dłużej niż przez okres, w którym administrator będzie w stanie udokumentować (uzasadnić) istnienie takiego interesu oraz wykazać nadrzędny charakter swojego interesu prawnego wobec interesów lub podstawowych praw i wolności osób, których dane dotyczą.
W odniesieniu do przetwarzania danych osobowych pracownika w ramach monitoringu skrzynek pocztowych warto zwrócić uwagę na opinię Prezesa UODO w tym zakresie, zgodnie z którą, jeśli byłego pracownika łączyła z pracodawcą umowa, zgodnie z którą był odpowiedzialny m.in. za kontakt z kontrahentami, to po rozwiązaniu z nim stosunku pracy firma może chcieć nadal wykorzystywać ten adres mail, aby nie tracić możliwości nawiązania kontaktu z kontrahentami lub klientami. Może tego dokonać np. za pomocą automatycznej odpowiedzi kierowanej do klientów lub kontrahentów. Jeśli w komunikacie zostanie podana informacja, że dana osoba nie jest już zatrudniona, oraz wskazanie, pod jakim adresem można kontaktować się z aktualnymi przedstawicielami danego podmiotu. Taka opinia sugeruje, iż nie jest możliwe przetwarzanie danych osobowych pracownika w ramach monitorowania jego skrzynki pocztowej po jego odejściu, jeśli pracownik ten nie miał i nie budował relacji handlowych (biznesowych) z kontrahentami i klientami danego administratora. Takie zawężenie możliwości przetwarzania danych wydaje logiczne, biorąc pod uwagę cel takiego przetwarzania wskazany w ramach art. 223 KP, zgodnie z którym, jeżeli jest to niezbędne do zapewnienia organizacji pracy umożliwiającej pełne wykorzystanie czasu pracy oraz właściwego użytkowania udostępnionych pracownikowi narzędzi pracy, pracodawca może wprowadzić kontrolę służbowej poczty elektronicznej pracownika. Ustawodawca jasno wskazał cele takiego przetwarzania. Jest nim zapewnienia organizacji pracy umożliwiającej pełne wykorzystanie czasu pracy oraz właściwego użytkowania udostępnionych pracownikowi narzędzi pracy. Co ważne, KP wskazuje oba cele jako koniunkcję, co oznacza, iż prawidłowym celem takiego przetwarzania nie będzie zapewnienia organizacji pracy umożliwiającej pełne wykorzystanie czasu pracy lub właściwego użytkowania udostępnionych pracownikowi narzędzi pracy. Pracodawca może zezwolić na ich wykorzystywanie przez pracownika w celach prywatnych, jednak wówczas należy zobowiązać pracowników do oznaczania poczty prywatnej w taki sposób, aby pracodawca mógł prawidłowo przestrzegać zasady poufności takich danych, tzn. nie naruszać przy tym tajemnicy korespondencji oraz innych dóbr osobistych pracownika (art. 223 § 1-2 KP).
Konkludując, wskazałbym następujące zagadnienia definiujące prawidłowy sposób wdrożenia innych form monitoringu, w tym monitorowanie sposobu wykorzystywania przez pracownika skrzynek pocztowych:
- W interesie pracodawcy jest monitorowanie sposobu wykorzystania czasu pracy oraz właściwego użytkowania udostępnionych pracownikowi narzędzi pracy, inaczej mówiąc tego, w jakim celu, w jakim zakresie udostępnione pracownikowi narzędzie, w tym służbowa poczta email, są przez pracownika wykorzystywane;
- Pracodawca nie musi pozyskiwać dla takiego przetwarzania danych pracownika jego zgody, ponieważ bazuje na innej przesłance legalizującej proces. Jest nim prawnie uzasadniony interes administratora, tj. art. 6 ust. 1 lit. f.) RODO;
- Cele, zakres oraz sposób zastosowania w/w form monitoringu ustala się w układzie zbiorowym pracy lub w regulaminie pracy albo w obwieszczeniu, jeżeli pracodawca nie jest objęty układem zbiorowym pracy lub nie jest obowiązany do ustalenia regulaminu pracy. Pracodawca informuje pracowników o wprowadzeniu monitoringu, w sposób przyjęty u danego pracodawcy, nie później niż dwa tygodnie przed jego uruchomieniem;
- Pracodawca przed dopuszczeniem pracownika do pracy przekazuje mu na piśmie powyższe informacje. Potwierdzenie przyjęcia tej informacji powinna się znajdować w aktach osobowych pracownika. w części „B” akt osobowych.
- Pracodawca samodzielnie określa okresy retencji dla poszczególnych procesów przetwarzania, biorąc przy tym pod uwagę cele, w jakich są przetwarzane takie dane, przy czym okres retencji nie powinien być dłuższy niż okres, w którym administrator będzie w stanie udokumentować (uzasadnić) istnienie swojego uzasadnionego interesu oraz wykazać jego nadrzędny charakter wobec interesów lub podstawowych praw i wolności osób, których dane dotyczą.
- Monitorowanie sposobu wykorzystywania przez pracownika skrzynek pocztowych jest możliwe, przy czym pracodawca musi rozstrzygnąć kwestię wykorzystywania przez pracownika służbowej skrzynki pocztowej do celów prywatnych. Jeśli pracodawca wskazuje taką możliwość, monitorując skrzynkę pracownika, nie może naruszać przy tym tajemnicy korespondencji oraz innych dóbr osobistych pracownika.
- Monitorowanie skrzynki pocztowej pracownika po rozwiązaniu z nim umowy o pracę jest możliwe, o ile, jeżeli byłego pracownika łączyła z pracodawcą umowa, zgodnie z którą był on odpowiedzialny m.in. za kontakt z kontrahentami. W takiej sytuacji po rozwiązaniu z nim stosunku pracy administrator może chcieć nadal wykorzystywać ten adres mail, aby nie tracić możliwości nawiązania kontaktu z kontrahentami lub klientami. Nie będzie uznana za prawidłową sytuacja, w której pracodawca monitoruje skrzynkę pocztową pracownika po jego odejściu, jeśli nie prowadził on w imieniu pracodawcy relacji handlowych (biznesowych) z kontrahentami i klientami danego administratora.
Z poważaniem
Arkadiusz Kraus
Prezes Zarządu
A2KP KANCELARIA Sp. z o.o.