Praktycznie wszystkie firmy stosują w jakimś zakresie monitorowanie pracowników. W dużych organizacjach zakres ten może być bardzo rozległy, poważnie ograniczając prawa pracowników do prywatności. W zakres takiego monitorowania wchodzą m. in. rejestracja czasu pracy, kontrola dostępu do stref i pomieszczeń, monitoring wizyjny, lokalizacja w przestrzeni z wykorzystaniem GPS i GSM, kontrola wykorzystania czasu pracy i jej wydajności, z którą może się łączyć wykorzystanie programów monitorujących działania wykonywane na komputerach i urządzeniach mobilnych lub nadzór korespondencji mailowej i połączeń telefonicznych.

Monitoring to nie tylko kamery

Monitoring to dowolne planowe i systematyczne obserwacje, kontrolowanie, nadzór lub pomiary zjawisk, obecności substancji, czy zachowania osób. Daje on wiedzę o tych zjawiskach, sygnalizuje potencjalne zagrożenia, pozwala na przewidywanie zagrożeń lub szans, świadome i kreatywne działania i planowanie.
Monitorowanie jest działaniem stosowanym powszechnie do zbierania informacji o środowisku naturalnym, środowisku pracy, produkcji, czynnikach ekonomicznych, czynnikach mogących stanowić zagrożenie.
Pracodawca w swojej działalności monitoruje wiele czynników: sytuację na rynku, działania konkurentów, warunki produkcji, środowisko pracy, dostępność i ceny surowców, jakość produktów i usług itd., co pozwala na efektywniejsze działanie, unikanie zagrożeń, wykorzystywanie szans.

Monitoring a ochrona prywatności

Stosowanie monitoringu pracowników podlega szeregu regulacjom prawnym chroniącym prawa i wolności obywatelskie i pracownicze. Planując takie monitorowanie pracodawca musi uwzględnić przepisy regulujące prawo do prywatności, szczególnie kodeksu pracy i RODO. Sankcje za naruszenie prawa do prywatności i ochrony danych osobowych mogą być bardzo wysokie.

Monitorowanie w środowisku pracy uregulowane jest m. in. przez art. 8 Europejskiej Karty Praw Człowieka, art. 7 Karty praw podstawowych, art. 47 i 51 Konstytucji RP, art. 88 RODO, artykuły 222 i 223 kodeksu pracy.

RODO

Z punktu widzenia ochrony danych osobowych, najczęściej stosowaną podstawą przetwarzania danych, będzie uzasadniony interes prawny administratora (art. 6 ust 1. lit f). Będzie on miał zastosowanie przy monitoringu wizyjnym, kontroli dostępu, lokalizacji w przestrzeni (GPS, GSM), monitorowaniu poczty elektronicznej i wykorzystywania komputerów służbowych, aktywności w Internecie i rozmów telefonicznych.
Rzadziej stosowaną przesłanką będzie realizacja umowy i czynności zmierzające do jej zawarcia (art. 6 ust 1. lit b), którą zastosujemy przy rejestracji czasu pracy, rejestracji rozmów telefonicznych (np. zawieranie umów na odległość).

W pewnych przypadkach wystąpi obowiązek prawny przetwarzania (art. 6 ust 1. lit c). Będą to: rejestracja czasu pracy, kontrola dostępu w pewnych kategoriach obiektów, zapis rozmów telefonicznych do celów dowodowych, nadzór GPS nad transportem niektórych towarów.
Jako podstawa przetwarzania danych z monitoringu, co do zasady, nie powinna być stosowana przesłanka zgody (art. 6 ust 1. lit a), z uwagi na wątpliwość dobrowolności jej udzielania w relacjach pracodawca – pracownik, oraz na inwazyjny charakter, przynajmniej niektórych rodzajów monitoringu. Zgoda, mimo że jest wymieniona w RODO jako pierwsza, powinna być stosowana dopiero, gdy nie można powołać się na inne przesłanki przetwarzania.

Kodeks pracy

Kodeks pracy zobowiązuje pracodawcę do rejestrowania czasu pracy pracowników (art. 149 § 1), zapewnienia bezpieczeństwa i higieny pracy (art. 15 § 1) – np. kontrola dostępu, w pewnych przypadkach monitoring wizyjny i lokalizacja pojazdów.
Monitoring wizyjny może być wykonywany na podstawie art. 222, w celu zapewnienia bezpieczeństwa pracowników i mienia, kontroli produkcji, czy zachowania tajemnicy informacji.
Stosowanie pozostałych rodzajów monitoringu może być dokonywane jako niezbędnych do zapewnienia organizacji pracy, właściwego wykorzystania powierzonych narzędzi pracy (art. 223 §1-4)

Podstawowe zasady stosowania

Monitoring pracowników może być stosowany, jeśli wynika z obowiązku prawnego ciążącego na pracodawcy, służy ochronie jego istotnych interesów, jednak musi uwzględniać prawa pracowników do prywatności. Pracodawca stosując taki monitoring musi stosować się do podstawowych zasad ochrony danych osobowych:

  • zgodności z prawem, rzetelności i przejrzystości;
  • ograniczenia celu;
  • minimalizacji danych;
  • prawidłowości aktualności danych;
  • ograniczenia czasu przetwarzania;
  • integralności i poufności;
  • rozliczalności.

W tym celu powinien wprowadzić i stosować Politykę ochrony danych osobowych i dostosowaną do zakresu, skali i warunków przetwarzania dokumentację.

Obowiązki i ograniczenia

Monitorowanie może być stosowane tylko w ściśle określonym celu i tylko w niezbędnym, proporcjonalnym do wyznaczonego celu obszarze i zakresie. Administrator danych musi zapewnić stosowanie adekwatnych, do poziomu zagrożeń, zabezpieczeń technicznych i organizacyjnych, realizacji praw podmiotów danych, innych obowiązków wynikających z RODO, oraz potrafić to wykazać.

Przed rozpoczęciem monitorowania wizyjnego (choć nie tylko), należy:

  • Ustalić cel, zakres i sposób zastosowania monitoringu w układzie zbiorowym, lub regulaminie pracy, lub obwieszczeniu;
  • powiadomić pracowników o planowanym monitorowaniu 2 tygodnie przed wprowadzeniem;
  • informować zainteresowanych o zasadach stosowania monitoringu;
  • Informować na piśmie pracowników przed dopuszczeniem do pracy o celu, zakresie i sposobie stosowania monitoringu;
  • Oznaczyć monitorowany obszar w sposób widoczny i czytelny;
  • wprowadzić dokumentację dotyczącą przetwarzania danych (stosowane środki, cele, obszar i lokalizacja kamer, czas retencji, dostęp do nagrań, warunki udostępniania, test równowagi przetwarzania, DPIA);
  • ograniczyć czas przechowywania nagrań do 3 miesięcy

Niedopuszczalne jest objęcie monitoringiem pomieszczeń socjalnych, sanitarnych, stołówek, palarni, pomieszczeń odpoczynku oraz pomieszczeń ZOZ. Odstępstwa od tej zasady są ściśle określone w kodeksie pracy.
Niedopuszczalne także jest stosowanie monitorowania jakości i wydajności pracy (opinia 4/2004 grupy roboczej art. 29).

Do przetwarzania danych mogą być dopuszczone wyłącznie osoby do tego przeszkolone, upoważnione i zobowiązane do zachowania poufności, a z podwykonawcami lub współadministratorami monitorowania muszą być podpisane stosowne umowy.

Zagrożenia dla pracowników i pracodawcy

Planując wprowadzenie monitoringu, pracodawca powinien mieć na względzie zagrożenia naruszenia prywatności i godności innych osób, możliwy negatywny wpływ na relacje pracodawca – pracownik, możliwe straty wizerunkowe czy materialne dla monitorowanych osób.
Samemu zaś administratorowi zagraża, poza wysokimi grzywnami za naruszenia zasad ochrony danych osobowych (do 10 lub 20 mln EUR), ryzyko pozwów o naruszenie dóbr osobistych, roszczenia odszkodowawcze, ale także strata wizerunkowa i utrata dobrej opinii u klientów, co również może przełożyć się na niebagatelny uszczerbek finansowy.

Aby nie przekroczyć dopuszczalnego zakresu przetwarzania administrator musi znać swoje obowiązki, dokonać (nieraz bardzo szerokiej) analizy planowanego lub realizowanego monitorowania, określić cele, zasady i zagrożenia takiego przetwarzania dla osób monitorowanych, uzgodnić je z przedstawicielami pracowników, wykonać test równowagi przetwarzania, często dokonać oceny skutków dla ochrony danych (PIA), a w przypadkach trudnego do zredukowania, wysokiego poziomu ryzyka, skonsultować planowane przetwarzanie z PUODO.

Podsumowanie

Różnego rodzaju monitorowanie pracowników jest dozwolone przez przepisy prawa pracy i RODO, jednak w ograniczonym zakresie, związanym ściśle z celami takiego przetwarzania: zapewnieniem bezpieczeństwa pracowników i innych osób, ochrony mienia i tajemnic firmy, bezpieczeństwa przetwarzania i transmisji danych, wypełnienia obowiązków prawnych i warunków umów. Monitorowanie to musi jednak być ograniczone do koniecznego minimum, tak pod względem celu, zakresu, ilości danych jak i czasu ich przetwarzania. Dane z różnych procesów monitorowania nie powinny być kompilowane, jeśli to nie jest konieczne i nie powinno się dokonywać na podstawie tych danych profilowania pracowników. Przetwarzanie musi być dla pracowników jasne i przejrzyste, a ich wszystkie prawa, wynikające z przepisów o ochronie danych osobowych, muszą być zapewnione.

Opublikowano: 21 maja, 2020 / Kategorie: Prawo pracy w IT, RODO / Tags: , , , /

Zostaw komentarz

jedenaście − dziesięć =

Informacja o Administratorze i treść Polityki prywatności znajduje się tutaj: (link)

Zapisz się na newsletter

Z naszą kancelarią nie zbłądzisz w świecie prawa IT.

Informacja o Administratorze i przetwarzaniu danych w celu wysyłki Newslettera znajduje się tutaj

Pełna treść Polityki prywatności znajduje się tutaj