Czy monitoring pracowników jest zgodny z RODO?
Monitoring wizyjny
Ramy prawne monitoringu pracowników wyznaczają znowelizowane przepisy Kodeksu pracy, tj. art. 222 oraz art. 223. Z racji tego, że wizerunek i inne dane utrwalone na nagraniach będą stanowić dane osobowe. W zakresie ogólnych warunków związanych z ich przetwarzaniem zastosowanie znajdą również przepisy RODO, a w szczególności art. 5 określający zasady przetwarzania danych.
Monitoring wizyjny może zostać wprowadzony przez pracodawcę, jeżeli takie działanie jest niezbędne do zapewnienia bezpieczeństwa pracowników, ochrony mienia, kontroli produkcji bądź zachowania w tajemnicy informacji, których ujawnienia mogłoby narazić pracodawcę na szkodę. Może to być utrata wizerunku firmy, bądź straty finansowe.
Czy dopuszczalne jest stosowanie monitoringu wizyjnego we wszystkich pomieszczeniach?
Monitoringu nie można stosować w pomieszczeniach sanitarnych, szatniach, stołówkach, palarniach oraz pomieszczeniach udostępnianych zakładowej organizacji związkowej. W przypadku tych pomieszczeń objęcie ich monitoringiem może zostać zastosowane, jeżeli monitoring jest niezbędny do realizacji podstawowych celów monitoringu i nie narusza godności i dóbr osobistych pracowników. Monitoring pomieszczeń sanitarnych wymaga dodatkowo uzyskania zgody zakładowej organizacji związkowej.
Obowiązki pracodawcy wynikające ze stosowania monitoringu wizyjnego:
- ustalenie celu, zakresu oraz sposobu zastosowania monitoringu w układzie zbiorowym pracy lub regulaminie pracy, bądź w obwieszczeniu. O celu, zakresie oraz sposobie zastosowania monitoringu pracodawca musi powiadomić pracowników najpóźniej na 2 tygodnie przed jego uruchomieniem. Nie dotyczy to sytuacji, kiedy stosuje się już taki monitoring;
- bieżące informowanie – wykonywanie w stosunku do monitorowanych pracowników (oraz innych osób, które mogą znaleźć się w obszarze monitorowanym) obowiązków informacyjnych określonych w Ogólnym rozporządzeniu o ochronie danych;
- oznaczenie obszaru – oznaczenie pomieszczenia i terenu monitorowanego w sposób widoczny i czytelny (np. tabliczka z piktogramem kamery), za pomocą odpowiednich znaków lub ogłoszeń dźwiękowych, nie później niż jeden dzień przed jego uruchomieniem;
- wprowadzenie dokumentacji opisującej sposób przetwarzania danych z nagrań – dokumentacja taka powinna określać: warunki dostępu do zapisu nagrań, okres przechowywania danych, warunki udostępnienia zapisu z monitoringu, zastosowane środki techniczne, części składowe monitoringu, cele monitoringu, miejsce instalacji kamer, lokalizację objęte monitoringiem, osoby, które sprawują nadzór nad monitoringiem;
Monitoring służbowej poczty elektronicznej
Przesłankami do zastosowania monitoringu poczty elektronicznej zgodnie z art. 223 §1 Kodeksu Pracy jest niezbędność zapewnienia:
- organizacji pracy umożliwiającej pełne wykorzystanie czasu pracy – w ramach realizacji tego celu pracodawca może, np. sprawdzać czy pracownicy nie korzystają ze stron czy też z innych witryn, które nie służą wykonywaniu przez nich obowiązków służbowych;
- właściwego użytkowania udostępnionych pracownikowi narzędzi pracy – kontrola taka ma służyć nie tylko zapewnieniu, aby pracownik wykorzystywał powierzone mu narzędzia do celów zawodowych, ale również by nie był zbytnio obciążony pracą.
W związku z tym pracodawca może zgodnie z prawem kontrolować pocztę służbową pracowników wyłącznie, gdy może powołać się na co najmniej jeden z powyżej wskazanych powodów. Jednocześnie zgodnie z art. 223 §2 Kodeksu Pracy, monitoring poczty elektronicznej nie może naruszać tajemnicy korespondencji oraz innych dóbr osobistych pracownika.
Zakaz naruszania tajemnicy korespondencji dotyczy przede wszystkim prywatnych e-maili wysyłanych ze służbowej skrzynki pocztowej. Oznacza to, że jeśli pracodawca znalazłby w skrzynce służbowej prywatną korespondencję pracownika, nie może zapoznawać się z nią w całości. Zakaz naruszania tajemnicy korespondencji przez pracodawcę obowiązuje nawet wtedy, gdy regulamin pracy wprowadza zakaz korzystania z poczty służbowej dla celów prywatnych, a pracownik się do niego nie zastosował. Z zakazem naruszania tajemnicy korespondencji pracownika wiąże się jeszcze inny zakaz. Pracodawca nie może kontrolować prywatnej skrzynki poczty elektronicznej swojego pracownika, nawet jeśli korzystałby z niej za pomocą sprzętu służbowego.
Obowiązki pracodawcy wynikające ze stosowania monitoringu poczty elektronicznej:
Pracodawca musi ustalić cel, zakres oraz sposób zastosowania monitoringu poczty elektronicznej w układzie zbiorowym lub regulaminie pracy, bądź w obwieszczeniu.
O celu, zakresie oraz sposobie zastosowania monitoringu pracodawca musi powiadomić pracowników:
- najpóźniej na 2 tygodnie przed jego uruchomieniem (poza sytuacjami, kiedy monitoring taki jest już stosowany);
- w przypadku nowych pracowników – przed dopuszczeniem ich do pracy;
- w przypadku pracowników, który zostali już dopuszczeni do pracy, pracodawca powinien poinformować ich o zamiarze prowadzenia monitoringu. Nieprawidłowym jest jednocześnie prowadzenie monitoringu aktywności obejmującej okres sprzed poinformowania pracownika o zamiarze jego prowadzenia).
Monitorowanie rozmów telefonicznych oraz lokalizowanie w przestrzeni GPS
Art. 223 §4 Kodeksu Pracy przepisy §1–3 stosuje się odpowiednio do innych form monitoringu niż określone w §1, jeśli ich zastosowanie jest konieczne do realizacji celów określonych w §1. Urządzenia takie jak telefony, samochody oraz inne sprzęty elektroniczne, które pracownik otrzymuje od pracodawcy, mogą być wyposażone w lokalizatory GPS. Na pracodawcy ciąży zakaz pełnego monitorowania sprzętu służbowego pracownika. Nie można na przykład monitorować lokalizacji pracownika po zakończeniu dnia pracy w celu uzyskania o nim dodatkowych informacji. Zgodnie z zasadą domyślnej ochrony danych, każdy taki sprzęt przekazywany pracownikowi do użytku służbowego powinien mieć domyślnie zainstalowane ustawienia prywatne. Dotyczy to tego, aby pełne informacje o lokalizacji pracownika nie trafiały cały czas do pracodawcy.
Obowiązki pracodawcy wynikające ze stosowania monitoringu rozmów telefonicznych oraz lokalizacji w przestrzeni GPS:
- poinformowanie pracownika na piśmie o celach, zakresie i sposobie monitorowania urządzenia, pojazdu – cel przetwarzania danych musi być zgodny z danymi przetwarzanymi oraz musi być tożsamy z celem wykorzystywania urządzenia i danych w ten sposób zbieranych;
- umieszczenie w widocznym miejscu w samochodzie symbolu informacyjnego, że trasa pojazdu i jego wykorzystanie będą monitorowane za pomocą urządzenia lokalizacyjnego;
- poinformowanie pracownika o szczegółach monitorowania urządzenia, pojazdu – jakie dane będą zbierane, gdzie rejestrowane, jak długo przechowywane, kto będzie miał do nich dostęp;
Monitoring aktywności wykorzystywania komputerów służbowych
Pracodawca może wdrożyć monitoring wykorzystania służbowych komputerów pracowników i prowadzić szczegółowy wykaz aktywności w internecie, pobieranych i instalowanych aplikacji. Jest to wskazane, gdy jest to niezbędne do zapewnienia organizacji pracy, umożliwiającej pełne wykorzystanie czasu. A także, gdy sprawdzane jest właściwe użytkowanie udostępnionych pracownikowi narzędzi. Zainstalowany monitoring nie może naruszać tajemnicy korespondencji oraz innych dóbr osobistych pracownika. Przy wprowadzaniu monitoringu komputerów służbowych nie ma konieczności posiadania zgody pracowników. Podstawą przetwarzania danych uzyskanych w ten sposób jest art. 223 §4 k.p.
Cele, zakres oraz sposób zastosowania monitoringu ustala się w układzie zbiorowym pracy lub w regulaminie pracy. Informacje mogą znaleźć się w obwieszczeniu, jeśli pracodawca nie jest objęty układem zbiorowym lub nie ma obowiązku posiadania regulaminu (art. 223 §4 w zw. z art. 222 §6 k.p.). Bez względu na to, w którym z ww. dokumentów zapisy o monitoringu będą przygotowywane, muszą odpowiadać zasadom:
- zgodności z prawem, rzetelności i przejrzystości,
- ograniczenia celu, minimalizacji danych, prawidłowości, ograniczenia przechowywania danych, integralności i poufności oraz rozliczalności (art. 5 w zw. z motywami 39-47, 58 i 60 preambuły RODO).
Obowiązki pracodawcy wynikające ze stosowania monitoringu aktywności wykorzystywania komputerów służbowych przez pracowników:
- poinformowanie pracowników o wprowadzeniu monitoringu nie później niż 2 tygodnie przed jego uruchomieniem (art. 223 4 w zw. z art. 222 §7 k.p.). Powinien to uczynić w sposób u niego przyjęty, np. przesyłając informację na służbowe skrzynki e-mailowe pracowników. Możliwe jest też zamieszczenie informacji w intranecie lub powieszenie na tablicy ogłoszeń. Informacja powinna być przejrzysta, zwięzła, zrozumiała z użyciem jasnego i prostego języka (art. 12 ust. 1 RODO);
- regulacje dotyczące monitoringu wchodzą w życie po upływie 2 tygodni od ich upublicznienia. W przypadku protokołu dodatkowego do układu zbiorowego – w terminie w nim ustalonym. Jednak nie wcześniej niż z dniem zarejestrowania protokołu (art. 222 7 w zw. art. 1043 §1 i art. 24112 §1 k.p.);
- przekazać na piśmie nowym pracownikom przed dopuszczeniem ich do pracy informacje o celach, zakresie i sposobie monitoringu;
- oznaczyć monitorowane urządzenia (komputery) w sposób widoczny i czytelny, za pomocą odpowiednich znaków lub ogłoszeń dźwiękowych. Musi być to nastąpić nie później niż jeden dzień przed uruchomieniem monitoringu.
Monitoring czasu pracy
Ewidencjonując czas pracy, pracodawca może sprawdzać, czy pracownicy pozostają do jego dyspozycji zgodnie z zapisami przepisów prawa czy umowy. Podstawą do stosowania monitoringu w tym wypadku będzie art. 222 §6 kodeksu pracy oraz art. 18, art. 13 i art. 15 RODO.
Kodeks pracy nie narzuca na pracodawcę sposobu potwierdzenia ewidencji czasu pracy pracowników, natomiast nie zwalnia go z jego prowadzenia. Pracodawca musi jednak pamiętać, że czynności odnotowywania obecności pracowników nie stanowią ewidencji czasu pracy. Dotyczy to zarówno list obecności czy też używania innych urządzeń kontrolujących proces pracy. Czynności te są jedynie elementem pomocniczym, za pomocą którego pracodawca może ukształtować proces odnotowywania obecności swoich pracowników w pracy.
Wspomniana wcześniej możliwość wyboru przez pracodawcę sposobu ewidencji czasu pracy ma również swoje ograniczenia i wymogi. Jednym z nich jest kategoryczny zakaz wykorzystywania danych biometrycznych dla celów ewidencji czasu pracy. Co ważne – nawet w sytuacji, gdy pracownik wyrazi na to zgodę.
Monitoring dostępu do pomieszczeń służbowych z wykorzystaniem biometrii
Definicja danych biometrycznych według RODO (przepis art. 4 pkt 14 RODO):
… dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne.
Zgodnie z art. 221b §2 kodeksu pracy – przetwarzanie danych biometrycznych pracownika jest dopuszczalne także wtedy, gdy podanie takich danych jest niezbędne ze względu na kontrolę dostępu do szczególnie ważnych informacji, których ujawnienie może narazić pracodawcę na szkodę. Również dotyczy to sytuacji, gdy konieczne jest uzyskanie dostępu do pomieszczeń wymagających szczególnej ochrony. To mogą być pomieszczenia, w których przechowywane są bardzo ważne informacje, których utrata naraziłaby go na straty. A także miejsca, gdzie prowadzone są jakieś badania albo przechowywane szczególnie cenne rzeczy.
Jeśli masz pytania dotyczące funkcjonalności programu do RODO RODOprotektor – wyślij nam wiadomość!
The post Monitoring pracowników a zapisy RODO – rodzaje monitoringu, podstawy prawne oraz dobre praktyki stosowania appeared first on RODOprotektor – Program do RODO.