Poczucie bezpieczeństwa jest tym, czym się staje.
Ramy prawne innych form monitoringu pracowników wyznaczają znowelizowane przepisy Kodeksu pracy (dalej „KP”), tj. art. 223 KP, zgodnie z którym jeżeli jest to niezbędne do zapewnienia organizacji pracy umożliwiającej pełne wykorzystanie czasu pracy oraz właściwego użytkowania udostępnionych pracownikowi narzędzi pracy, pracodawca może wprowadzić kontrolę służbowej poczty elektronicznej pracownika (monitoring poczty elektronicznej). Monitoring poczty elektronicznej nie może naruszać tajemnicy korespondencji oraz innych dóbr osobistych pracownika. Jednocześnie w/w przepisy stosuje się odpowiednio do innych form monitoringu niż monitoring poczty elektronicznej, jeśli ich zastosowanie jest konieczne do realizacji celów wskazanych powyżej (zapewnienie przez pracodawcę organizacji pracy umożliwiającej pełne wykorzystanie czasu pracy oraz właściwego użytkowania udostępnionych pracownikowi narzędzi pracy). Trzeba ponadto pamiętać, iż cele, zakres oraz sposób zastosowania w/w form monitoringu ustala się w układzie zbiorowym pracy lub w regulaminie pracy albo w obwieszczeniu, jeżeli pracodawca nie jest objęty układem zbiorowym pracy lub nie jest obowiązany do ustalenia regulaminu pracy. Dodatkowo pracodawca informuje pracowników o wprowadzeniu monitoringu, w sposób przyjęty u danego pracodawcy, nie później niż 2 tygodnie przed jego uruchomieniem. Pracodawca przed dopuszczeniem pracownika do pracy przekazuje mu na piśmie powyższe informacje. Potwierdzenie przyjęcia tej informacji powinna się znajdować w aktach osobowych pracownika. Zgodnie z rozporządzeniem dotyczącym akt osobowych, w części B akt osobowych mają się znaleźć dokumenty potwierdzające przekazanie pracownikowi informacji, a także oświadczenia pracowników potwierdzające zapoznanie się z dokumentami, z którymi pracodawca powinien pracownika zapoznać. Właśnie takim dokumentem jest informacja o monitoringu.
Z racji tego, że dane utrwalone w ramach realizacji innych form monitoringu będą stanowić dane osobowe, w zakresie ogólnych warunków związanych z ich przetwarzaniem zastosowanie znajdą również przepisy RODO. Przypomnijmy, iż zgodnie z art. 4 pkt. 1 RODO „dane osobowe” oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej, przy czym możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej. Bez wątpienia informacje takie jak imię i nazwisko, miejsce pracy oraz nr telefonu lub maila pracownika, dane pochodzące z GPS samochodu, ze skrzynki pocztowej pracownika, dane dotyczące położenia telefonu służbowego będącego w użytkowaniu przez pracownika, dane zawarte w autorespderze (wewnętrznym lub zewnętrznym), czy wreszcie dane informujące o sposobie wykorzystywania przez pracownika Internetu lub logowania się przez niego do systemu teleinformatycznego pracodawcy stanowią dane osobowe osób, których dane dotyczą, przy czym są tzw. dane zwykłej kategorii.
Aby przetwarzać takie dane, administrator danych osobowych musi posiadać przynajmniej jedną z przesłanek prawnych wskazanych w art. 6 RODO legalizujących proces przetwarzania, przy czym teoretycznie możliwe są tu dwa rozwiązania:
Pierwsze rozwiązanie nie nadaje się jako stabilna i wiarygodna podstawa przetwarzania w ramach wskazanych procesów. Pamiętajmy, iż aby można było uznać zgodę osoby, której dane dotyczą jako legalną podstawę przetwarzania danych, muszą zostać spełnione warunki „skutecznej zgody”. Warunki te wskazuje art. 7 RODO, a jego uzupełnieniem i jednocześnie rozszerzeniem jest treść motywów 32, 42 oraz 43 RODO. Gdyby na bazie wskazówek zawartych w powyższych zapisach chcieć skonkludować warunki skutecznej zgody, należałoby wskazać na następujące okoliczności jej wyrażenia:
Administrator musi być w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych.
O ile spełnienie przez pracodawcę warunków nr 1 – 6 nie wydaje się trudne, to pozostałe dyskwalifikują możliwość uznania zgody jako wiarygodnej przesłanki przetwarzania wskazanych powyżej danych osobowych pracownika w ramach innych form monitoringu. Dodatkowo należy pamiętać, iż zgodnie z opinią Prezesa UODO niedopuszczalna jest sytuacja, w której administrator wskazuje zgodę jako podstawę przetwarzania danych, jeśli mógłby lub powinien wybrać inną przesłankę przetwarzania danych osobowych. Tą inną przesłanką jest prawnie uzasadnionego interesu administratora, tj. art. 6 ust. 1 lit. f.) RODO. Dane te stanowią „dane służbowe” i nie wkraczają w sferę życia prywatnego pracowników. W tym kontekście należy jednak pamiętać, iż przyjęcie przez administratora zgody jako przesłanki przetwarzania nie jest bezwarunkowe. Przetwarzanie na podstawie art. 6 ust. 1 lit. f) RODO jest bowiem zgodne z prawem, jeśli:
Oba powyższe warunki należy wypełnić (udowodnić) w ramach tzw. „testu równowagi”. Brak wykazania w/w warunków powoduje, że co prawda administrator prawidłowo wskazał samą przesłankę przetwarzania danych w danym procesie, jednak przetwarzanie danych jest nielegalne. Zgodnie z art. 222 KP (monitoring wizyjny), nagrania obrazu pracodawca może przetwarzać wyłącznie do celów, dla których zostały zebrane, i przechowywać przez okres nieprzekraczający 3 miesięcy od dnia nagrania. W przypadku, w którym nagrania obrazu stanowią dowód w postępowaniu prowadzonym na podstawie prawa lub pracodawca powziął wiadomość, iż mogą one stanowić dowód w postępowaniu, termin ten może ulec przedłużeniu do czasu prawomocnego zakończenia postępowania. Tego przepisu nie stosuje się jednak analogicznie w odniesieniu do pozostałych form monitoringu, co oznacza, że administrator musi samodzielnie wyznaczyć okresy retencji dla poszczególnych procesów monitorowania, przy czym muszą być one ustalone adekwatnie do celów, w jakich są przetwarzane, jednak nie dłużej niż przez okres, w którym administrator będzie w stanie udokumentować (uzasadnić) istnienie takiego interesu oraz wykazać nadrzędny charakter swojego interesu prawnego wobec interesów lub podstawowych praw i wolności osób, których dane dotyczą.
W odniesieniu do przetwarzania danych osobowych pracownika w ramach monitoringu skrzynek pocztowych warto zwrócić uwagę na opinię Prezesa UODO w tym zakresie, zgodnie z którą, jeśli byłego pracownika łączyła z pracodawcą umowa, zgodnie z którą był odpowiedzialny m.in. za kontakt z kontrahentami, to po rozwiązaniu z nim stosunku pracy firma może chcieć nadal wykorzystywać ten adres mail, aby nie tracić możliwości nawiązania kontaktu z kontrahentami lub klientami. Może tego dokonać np. za pomocą automatycznej odpowiedzi kierowanej do klientów lub kontrahentów. Jeśli w komunikacie zostanie podana informacja, że dana osoba nie jest już zatrudniona, oraz wskazanie, pod jakim adresem można kontaktować się z aktualnymi przedstawicielami danego podmiotu. Taka opinia sugeruje, iż nie jest możliwe przetwarzanie danych osobowych pracownika w ramach monitorowania jego skrzynki pocztowej po jego odejściu, jeśli pracownik ten nie miał i nie budował relacji handlowych (biznesowych) z kontrahentami i klientami danego administratora. Takie zawężenie możliwości przetwarzania danych wydaje logiczne, biorąc pod uwagę cel takiego przetwarzania wskazany w ramach art. 223 KP, zgodnie z którym, jeżeli jest to niezbędne do zapewnienia organizacji pracy umożliwiającej pełne wykorzystanie czasu pracy oraz właściwego użytkowania udostępnionych pracownikowi narzędzi pracy, pracodawca może wprowadzić kontrolę służbowej poczty elektronicznej pracownika. Ustawodawca jasno wskazał cele takiego przetwarzania. Jest nim zapewnienia organizacji pracy umożliwiającej pełne wykorzystanie czasu pracy oraz właściwego użytkowania udostępnionych pracownikowi narzędzi pracy. Co ważne, KP wskazuje oba cele jako koniunkcję, co oznacza, iż prawidłowym celem takiego przetwarzania nie będzie zapewnienia organizacji pracy umożliwiającej pełne wykorzystanie czasu pracy lub właściwego użytkowania udostępnionych pracownikowi narzędzi pracy. Pracodawca może zezwolić na ich wykorzystywanie przez pracownika w celach prywatnych, jednak wówczas należy zobowiązać pracowników do oznaczania poczty prywatnej w taki sposób, aby pracodawca mógł prawidłowo przestrzegać zasady poufności takich danych, tzn. nie naruszać przy tym tajemnicy korespondencji oraz innych dóbr osobistych pracownika (art. 223 § 1-2 KP).
Konkludując, wskazałbym następujące zagadnienia definiujące prawidłowy sposób wdrożenia innych form monitoringu, w tym monitorowanie sposobu wykorzystywania przez pracownika skrzynek pocztowych:
Z poważaniem
Arkadiusz Kraus
Prezes Zarządu
A2KP KANCELARIA Sp. z o.o.
Aktualności / BLOG
Zapewniamy zgodność z przepisami ochrony danych osobowych.
Jesteśmy też ekspertami w dziedzinie prawa pracy.
Aenean sagittis mattis purus ut hendrerit. Mauris felis magna, cursus in venenatis ac, vehicula eu massa. Quisque nunc velit, pulvinar nec iaculis id, scelerisque in diam. Sed ut turpis velit. Integer dictum urna iaculis vestibulum finibus. Etiam tempus dictum rhoncus. Nam vel semper eros. Ut molestie sit amet sapien vitae semper. Pellentesque habitant morbi tristique senectus et netus et malesuada fames ac turpis egestas.
Aktualności
Jesteśmy najlepsi
A2KP KANCELARIA Sp. z o.o.
43-300 Bielsko Biała,
ul Ulica Grażyńskiego 71