Monitorowanie pracownika zgodne z RODO

W naszym ostatnim artykule pisaliśmy o tym, jak prowadzić monitoring wizyjny w zgodzie z Ogólnym rozporządzeniem o ochronie danych oraz przepisami szczególnymi. Teraz przyjrzymy się innym możliwym formom monitorowania aktywności pracowników.

Monitoring zgodny z RODO i Kodeksem Pracy – poradnik do obejrzenia na YouTube…

… albo odsłuchania w formie podcastu

Ramy prawne

Tak jak wykorzystywanie kamer, tak i stosowanie innych technologii do monitorowania pracowników zostało uregulowane przez znowelizowane w maju 2018 r. przepisy Kodeksu pracy.

Regulacje art. 223 Kodeksu pracy określają m.in. granice dopuszczalności stosowania monitorowania, prawa pracowników w tym zakresie oraz obowiązki pracodawcy związane z uruchomieniem oraz utrzymaniem różnych form monitorowania.

Czy natomiast w toku monitorowania będziemy mieli do czynienia z informacjami o charakterze danych osobowych? Zgodnie z definicją art. 4 pkt 1) RODO, dane osobowe to wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Pracodawca jest w stanie łatwo zidentyfikować swojego pracownika, a zwłaszcza tego, którego aktywność kontroluje. Inaczej taka kontrola nie miałaby przecież większego sensu.

Dodatkowo, w definicji wprost wskazano, że do kategorii danych osobowych należą, w szczególności dane o lokalizacji, a także jeden bądź kilka czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej. Abstrahując od kwestii lokalizacji, również wyżej wskazane czynniki mogą wynikać z zastosowania innych form monitoringu pracowników. Monitoring lokalizacji auta służbowego nie tylko wskaże nam, gdzie jest pracownik (lokalizacja), ale również pozwoli wywnioskować sposób prowadzenia pojazdu przez pracownika. Natomiast zastosowanie biometrii do kontroli dostępu do serwerowni, będzie wiązało się z przetwarzaniem informacji o czynnikach fizjologicznych.

Tym samym, oprócz przepisów prawa pracy, zastosowanie znajdą również przepisy RODO, a w szczególności art. 5 określający zasady przetwarzania danych oraz art. 6 i 9 w zakresie podstaw prawnych przetwarzania tego typu informacji o pracowniku.

Formy monitoringu aktywności pracownika

Kontrolowanie aktywności pracownika w zakładzie pracy, a także poza nim podczas wykonywania przez niego obowiązków służbowych, staje się coraz bardziej popularne. Do tego typu kontroli pracodawcy wykorzystują coraz to nowsze technologie. Część z nich może, w sposób bezpośredni lub pośredni, ingerować w prywatność zatrudnionych osób.

Najczęściej spotykaną formą kontroli jest monitorowanie służbowej poczty elektronicznej. Właśnie ten rodzaj nadzoru przewidują wprost przepisy Kodeksu pracy. Ustawa nie zamyka jednak katalogu technologii, które mogą być wykorzystywane do monitorowania pracowników. Zwłaszcza, że dotychczasowa praktyka pokazuje, że rzeczywiście jest ich coraz więcej.

Mniej popularne niż przeglądanie wysłanych i odebranych maili, ale również stosowane przez pracodawców, jest monitorowanie aktywności pracownika w sieci. Najczęściej przybiera ono jednak formę blokowania konkretnych stron internetowych. Rzadziej, ale również zdarza się, że pracodawca analizuje całą historię aktywności w tym zakresie.

Wśród pracodawców udostępniających swoim pracownikom samochody służbowe rośnie trend umieszczania w pojazdach lokalizatorów GPS. Natomiast tam, gdzie podstawowym narzędziem pracy jest telefon służbowy, zdarza się kontrola bilingów rozmów telefonicznych.

Oczywiście nie są to jedyne formy kontroli jakie może zastosować pracodawca. Granice w tym zakresie wyznacza nie tylko jego fantazja czy dostępna technologia, ale przede wszystkim sfera prywatności pracownika i odpowiednie przepisy.

e-learning RODO

Monitoring zgodny z RODO – praktyczny pakiet procedur, wytycznych i klauzul

Stosujesz monitoring (wizyjny lub aktywności pracowników)? Jesteś zobowiązany do wdrożenia odpowiedniej dokumentacji regulującej te kwestie.

Aby ułatwić Ci zadanie przygotowaliśmy dla Ciebie kompleksowy pakiet wytycznych i procedur związanych z monitoringiem.

Sprawdź

Prowadzony nadzór nie może naruszać tajemnicy korespondencji oraz innych dóbr osobistych pracownika. Kontrola może być wprowadzona jedynie w celach wskazanych w art. 223 Kodeksu pracy, tj. jeżeli jest to niezbędne do:

  • zapewnienia organizacji pracy umożliwiającej pełne wykorzystywanie czasu pracy, lub
  • właściwego użytkowania udostępnionych pracownikowi narzędzi pracy.

Oznacza to, że zasadniczym celem, dla którego pracodawca wprowadza jakąkolwiek formę monitoringu aktywności pracownika powinna być chęć zapewnienia, że pracownik nie jest zbytnio obciążony pracą oraz wykorzystuje powierzone mu narzędzia do celów zawodowych.

Podstawy prawne stosowania kontroli

Tak jak w przypadku instalacji kamer, tak i w przypadku wprowadzania innych form monitoringu aktywności pracownika, przesłanki legalizujące takie działanie będą różnić się w zależności od tego z jakim podmiotem mamy do czynienia. Inaczej bowiem będą wyglądały podstawy prawne zbierania danych przez podmioty publiczne, a inaczej przez podmioty prywatne.

Dla podmiotów prywatnych przesłankę do przetwarzania danych w ramach kontroli pracownika stanowi art. 6 ust. 1 lit. f) Ogólnego rozporządzenia o ochronie danych, czyli tzw. prawnie uzasadniony interes administratora. W tym przypadku, uzasadnionym interesem pracodawcy będzie przede wszystkim zapewnienie właściwej organizacji pracy oraz właściwego użytkowania udostępnionych pracownikowi narzędzi pracy.

Zgodnie z motywem 47 RODO, prawnie uzasadniony interes administratora nie ma zastosowania jako podstawa prawna do przetwarzania, którego dokonują organy publiczne w ramach realizacji swoich zadań. Dlatego też w ich przypadku podstawę monitoringu aktywności pracownika stanowić będą:

  • 6 ust. 1 lit. c) Ogólnego rozporządzenia o ochronie danych – przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze (tylko kiedy przepis prawa jasno wskazuje na obowiązek), lub
  • 6 ust. 1 lit. e) Ogólnego rozporządzenia o ochronie danych – przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi (jeżeli brak obowiązku (tj. uprawnienie) lub w ogóle brak przepisu prawa).
W żadnym wypadku podstawy dla przetwarzania danych osobowych pracowników w związku z wprowadzonym monitoringiem aktywności nie powinien stanowić art. 6 ust. 1 lit. a) Ogólnego rozporządzenia o ochronie danych tj. zgoda.

Już Generalny Inspektor Ochrony Danych Osobowych (poprzednik Prezesa Urzędu Ochrony Danych Osobowych) zwracał w swoich decyzjach uwagę na to, że tak wyrażona zgoda może nie posiadać cechy dobrowolności, która jest warunkiem, aby zgoda była uznana za ważną (m.in. decyzja z dnia 22 lutego 2008 r. sygn. DIS/DEC- 134/4605/08, decyzja z dnia 9 grudnia 2009 r. sygn. DIS/DEC- 1261/46988/09). Także Naczelny Sąd Administracyjny przyjął jednoznaczne stanowisko, iż wyrażona na prośbę pracodawcy zgoda pracownika na pobranie i przetwarzanie jego danych osobowych, narusza prawa pracownika i swobodę wyrażenia przez niego woli (wyrok z dnia 1 grudnia 2009 r. sygn. akt I OSK 249/09). NSA podkreślił w szczególności brak równowagi w relacji pracodawca pracownik.

Tym samym, pracodawca decydując się na taką przesłankę przetwarzania w zakresie kontrolowania aktywności pracownika naraża się na niebezpieczeństwo, że pozyskana zgoda zostanie uznana za nieważną. Oczywiście, jeżeli faktycznie zapewni on, że zgoda pracownika będzie w pełni dobrowolna oraz będzie spełniała inne warunki art. 7 RODO (w tym pracownik będzie mógł ją wycofać), taka podstawa prawna może być wykorzystywana. Biorąc jednak pod uwagę cele kontroli trudno wyobrazić sobie sytuacje, gdzie pracownik faktyczne, bez żadnych negatywnych konsekwencji będzie mógł zgody nie wyrazić bądź udzieloną zgodę wycofać. Dlatego też, nie rekomendujemy korzystania z tej przesłanki przetwarzania w omawianym zakresie.

Monitoring a prywatność pracownika

Wprowadzenie jakiejkolwiek z form monitorowania pracownika może mieć zasadniczy wpływ na jego prywatność oraz inne dobra osobiste. Przed ich wprowadzeniem pracodawca powinien dokonać szczegółowej analizy, czy rzeczywiście dla osiągniecia założonego celu taki monitoring jest w ogóle konieczny. Jeżeli cel może zostać osiągnięty na kilka różnych sposobów, to należy wybrać ten, który jak najmniej ingeruje w prywatność pracownika (m.in. zgodnie z zasadą privacy by default).

Przykładowo, decydując się na wprowadzenie monitoringu poczty elektronicznej, pracodawca powinien pamiętać, że nie może kontrolować prywatnej korespondencji swoich pracowników. Takie zachowanie naruszałoby konstytucyjne prawo do prywatności. Ponadto, monitoring poczty elektronicznej nie może naruszać tajemnicy korespondencji oraz innych dóbr osobistych pracownika.

Na uwagę zasługuje przy tym wyrok Europejskiego Trybunału Praw Człowieka z dnia 3 kwietnia 2007 r. w sprawie Copland v. Zjednoczone Królestwo. W trakcie zatrudnienia nauczycielki pracodawca monitorował służbowy telefon skarżącej, jej pocztę elektroniczną oraz połączenia internetowe. Kontrola pracodawcy wykazała, że nauczycielka nadużywała służbowego komputera oraz telefonu w celach prywatnych, w konsekwencji czego zwolniono ją z pracy. ETPC w swoim wyroku wskazał, że używanie przez pracowników służbowych telefonów komórkowych czy komputerów będących własnością pracodawcy, nie oznacza dorozumianej zgody na ich swobodne kontrolowanie. Pracownik musi być świadomy możliwości kontrolowania jego czynności.

Obowiązki pracodawcy w zakresie monitoringu aktywności

Decydując się na wprowadzenie jakiejkolwiek z form monitorowania pracownika, pracodawca musi zrealizować szereg obowiązków wynikających nie tylko z Kodeksu pracy, ale również i RODO. Do najważniejszych z nich zaliczymy:

1. Ustalenie celu, zakresu oraz sposobu zastosowania monitoringu w układzie zbiorowym pracy lub regulaminie pracy, bądź w obwieszczeniu - jeżeli pracodawca nie jest objęty układem zbiorowym pracy lub nie jest obowiązany do ustalenia regulaminu pracy.

Cel, zakres oraz sposób zastosowania monitoringu powinny zostać określone w sposób możliwe jak najbardziej szczegółowy. W szczególności wewnętrzne regulacje powinny wskazywać m.in.:

  • dla monitoringu poczty elektronicznej – warunki dostępu do służbowej skrzynki mailowej pracownika tj. czy następuje to tylko w przypadku jego dłuższej nieobecności, czy też monitoring prowadzony jest na bieżąco, osoby uprawnione do dokonania przeglądu treści korespondencji, czy do monitoringu wykorzystuje się dedykowane programy (np. stosujące słowa kluczowe) czy też monitoring prowadzony jest „ręcznie” poprzez umożliwienie dostępu z poziomu administratora,
  • dla monitoringu aktywności w sieci – czy kontrola polega na zablokowaniu stron o określonej treści, czy też monitoring prowadzony jest na bieżąco, a historia aktywności jest zapisywana i analizowana, jeżeli tak, to kto dokonuje analizy,
  • dla monitoringu lokalizacji (GPS) – czy monitoring obejmuje wyłącznie położenie pojazdu, czy też określa prędkość a także odnotowuje sam fakt włączenia lub wyłączenia silnika, kto może mieć wgląd do tego typu informacji i jak mogą być wykorzystywane, należy ponadto uregulować kwestie związanie z zasadami używania służbowych aut w celach prywatnych tj. czy wówczas pracownik ma możliwość wyłączenia lokalizatora GPS,
  • dla monitoringu bilingów rozmów telefonicznych – jaki jest zakres monitoringu, czy obejmuje jedynie wykaz połączeń przychodzących i wychodzących, czy również wiadomości tekstowe, wskazanie zasad postępowania przy wykorzystywaniu telefonów służbowych dla celów prywatnych.
2. Poinformowanie pracowników o planowanym uruchomieniu monitoringu, najpóźniej na 2 tygodnie przed jego uruchomieniem (poza sytuacjami, kiedy monitoring taki jest już stosowany).

W przypadku nowych pracowników realizacja tego obowiązku powinna nastąpić przed dopuszczeniem ich do pracy. W przypadku pracowników, który zostali już dopuszczeni do pracy, pracodawca powinien poinformować ich o zamiarze monitorowania. Należy przy tym wskazać, że nieprawidłowym będzie prowadzenie monitoringu aktywności obejmującej okres sprzed poinformowania pracownika o zamiarze jego prowadzenia.

3. Wykonywanie w stosunku do monitorowanych pracowników obowiązków informacyjnych określonych w Ogólnym rozporządzeniu o ochronie danych (o obowiązku informacyjnym zgodnym z RODO pisaliśmy w naszym wcześniejszym artykule). 
4. Oznaczenie monitorowanego obszaru w sposób widoczny i za pomocą odpowiednich znaków lub ogłoszeń dźwiękowych, nie później niż jeden dzień przed jego uruchomieniem.. 

Przykładowo:

  • w przypadku monitoringu poczty elektronicznej – stosowna informacja mogłaby pojawiać się każdorazowo przy włączaniu przez pracownika komputera lub programu służącego do obsługi poczty elektronicznej,
  • w przypadku monitoringu aktywności w sieci – stosowna informacja mogłaby pojawiać się każdorazowo przy włączaniu przez pracownika komputera lub przeglądarki internetowej,
  • w przypadku monitoringu lokalizacji (GPS) – stosowna informacja mogłaby zostać zamieszczona w widocznym miejscu w samochodzie i przybrać formę symbolu obrazkowego informującego o tym, iż trasa pojazdu i jego wykorzystanie będzie monitorowane za pomocą urządzenia lokalizującego,
  • w przypadku monitoringu bilingów rozmów telefonicznych – stosowna informacja mogłaby przybrać postać drobnej naklejki umieszczonej na tylnej obudowie telefonu.

Czynności związane z przetwarzaniem danych osobowych w związku z wprowadzeniem monitoringu aktywności pracownika powinny zostać ujawnione w rejestrze przetwarzania danych osobowych, o którym mowa w art. 30 ust. 1 RODO (jeżeli pracodawca jest zobowiązany do jego prowadzenia). O tym jak prowadzić rejestr czynności przetwarzania pisaliśmy tutaj.

Okres przechowywania danych

Zgodnie z zasadą ograniczenia przechowywania (art. 6 ust. 1 lit e) RODO) dane osobowe można przetwarzać przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane.

Uzasadnione cele przetwarzania danych w związku z wprowadzeniem monitoringu aktywności powiązane są z zapewnieniem właściwej organizacji pracy oraz kontrolą właściwego użytkowania udostępnionych pracownikowi narzędzi pracy. Zazwyczaj ewentualne nieprawidłowości w korzystaniu z udostępnionych narzędzi pracodawca jest w stanie rozpoznać w przeciągu jednego lub dwóch dni (jeżeli np. korzysta z dedykowanych programów alarmujących o nieprawidłowościach). Rozpoznanie może też nastąpić w późniejszym terminie, jeżeli np. zapisy lokalizacji służbowego samochodu prowadzone są na bieżąco, a ich kontrola i analiza następuje raz w miesiącu. Pracodawca powinien przyjąć takie procedury oraz zasady retencji, aby pozostawać w zgodzie ze wskazaną wyżej zasadą ograniczenia. To, czy dane osobowe są niezbędne dla danego celu, czy nie, powinno być kontrolowane w możliwie jak najwęższym przedziale czasowym.

W przypadkach, kiedy zapisy z monitoringu (np. zapis przejazdu pojazdu) stanowią dowód w postępowaniu prowadzonym na podstawie prawa lub pracodawca powziął wiadomość, iż mogą one stanowić dowód w postępowaniu, przyjęte terminy mogą ulec przedłużeniu do czasu prawomocnego zakończenia postępowania.

Ocena skutków dla ochrony danych (DPIA)

Monitoring służbowej poczty elektronicznej, a także inne formy monitoringu pracowników wiążą się przede wszystkim z wykorzystaniem nowych technologii. Tego typu przetwarzanie danych często wiąże się z wysokim ryzykiem dla praw i wolności osób, których dane dotyczą.

Pracodawca, który jest zdecydowany na wprowadzenie tej czy innej formy monitoringu aktywności swoich pracowników powinien jeszcze przed jego zastosowaniem przeanalizować, czy takie działanie będzie podlegało obowiązkom wynikającym z art. 35 RODO.

Pracodawca jest zobowiązany do przeprowadzenia oceny skutków planowanych operacji przetwarzania, kiedy dany rodzaj przetwarzania ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. W szczególności zaś, pracodawca powinien zwrócić uwagę na to, czy dany rodzaj operacji przetwarzania został ujawniony w Wykazie rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony opracowanym przez Prezesa Urzędu Ochrony Danych Osobowych na podstawie art. 35 ust. 4 RODO.

Najnowsza wersja wykazu przewiduje, że przeprowadzenia data protection impact assessment (DPIA) wymaga się m.in. w przypadku zakładów pracy, gdzie wykorzystywane są systemy monitorowania czasu pracy pracowników oraz przepływu informacji w wykorzystywanych przez nich narzędziach (poczty elektronicznej, Internetu). O tym jak zabrać się do przeprowadzenia DPIA pisaliśmy tutaj.

Podsumowanie

Zastosowanie przez pracodawcę jakiejkolwiek formy monitoringu aktywności może wiązać się z ingerencją w sferę prywatną pracownika. Na pracodawcy ciąży obowiązek przeprowadzenia oceny, czy taka ingerencja jest zasadna z uwagi na cele, które chce on osiągnąć. Pomimo tego, że pojęcie życia prywatnego może rozciągać się na działalność zawodową osoby, której dane dotyczą, to warunkiem sine qua non stosowania metod nadzoru jest istnienie wyraźnej i precyzyjnej podstawy prawnej tej ingerencji w prywatność.

Pobierz artykuł: Monitoring pracowników zgodny z RODO

Pobierz artykuł w PDF

Źródła:

Powiązane artykuły

Zasady pracy zdalnej a RODO – poradnik
Kontrola trzeźwości – co na to nowelizacja kodeksu pracy?
Wykorzystanie wizerunku pracownika – czy wymaga zgody?

26 Odpowiedzi

  1. Kamil

    czy karty do liczenia czasu pracy „odklikiwane” przy każdym wejściu i wyjściu pracownika to już monitoring? dane z kart zapisywane są w systemie ktory generuje ewidencję czasu pracy. Osobno odnotowane są wejścia do serwerowni. Na jakiej podstawie można to robić?

    1. Lex Artist

      Dzień dobry 🙂 W opisanym przez Pana przypadku mamy do czynienia z monitoringiem, który został wskazany w wykazie operacji przetwarzania wymagających oceny skutków dla ochrony danych-system monitorowania czasu pracy pracowników. Podstawą przetwarzania danych będzie przepis prawa – każdy pracodawca jest zobowiązany do prowadzenia ewidencji pracy art.149§1 Kodeksu pracy. Pozdrawiamy

      1. Michał

        Dzień dobry. Czyli należy uznać każdy rodzaj prowadzenia listy obecności za inną formę monitoringu?
        Nawet wpisanie się pracownika na papierową listę obecności albo jednokrotne potwierdzenie przybycia pracownika na elektronicznej liście obecności? Bo w zasadzie w obu wypadkach chodzi o to samo – lista obecności stanowi podstawę do prowadzenia ewidencji czasu pracy. Do tego ewidencja czasu pracy raczej ma mało wspólnego z zapewnieniem właściwego użytkowania narzędzi pracy, a użycie „oraz” w art. 223 KP sugeruje, że w zakresie innych form monitoringu oba wskazane tam cele powinny występować łącznie (inaczej użyto by „lub” jak w przypadku monitoringu wizyjnego).

  2. Alina

    Dzień dobry, proszę o odpowiedź na pytanie

    Reprezentuję placówkę medyczną
    podmiot zewnętrzny – prywatna spółka – Pielęgniarki Środowiskowe wystosowały żądanie wobec naszej placówki o udostępnienie pełnej dokumentacji medycznej wszystkich Pacjentów w związku z zapewnieniem ciągłości świadczeń medycznych realizowanych przez pielęgniarki środowiskowe.
    Odmówiliśmy takiego działania biorąc pod uwagę przepisy sektorowe oraz RODO. Ponadto nie mamy również pewności, że podmiot ten wdrożył i spełnia uwarunkowania techniczno-organizacyjne dla bezpiecznego przetwarzania danych Pacjentów. Pełna dokumentacja medyczna w znacznym stopniu wykracza poza zakres działania pielęgniarki środowiskowej.
    Uważamy, że jest to niedopuszczalne w związku z tym, iż dysponentem danych pozostaje sam Pacjent, który może bezpłatnie otrzymać pierwszą kopię dokumentacji medycznej i on zadecyduje czy dane te przekazać temu podmiotowi, zgodnie z jego wolą.
    Liczę na odpowiedź, bo podmiot straszy nas przy okazji skargą do Naczelnej Izby Pielęgniarek i Położnych, NFZ i innych instytucji.

    1. Lex Artist

      Dzień dobry,
      zgodnie z art. 26 Ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta prawo dostępu do dokumentacji medycznej przysługuje dwóm grupom podmiotów:
      -pacjentowi, przedstawicielowi ustawowemu pacjenta oraz osobie upoważnionej przez pacjenta,
      -podmiotom wskazanym w art. 26 ust. 3 Ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta m.in. podmiotom udzielającym świadczeń zdrowotnych, jeżeli dokumentacja ta jest niezbędna do zapewnienia ciągłości świadczeń zdrowotnych, organom rentowym oraz zespołom do spraw orzekania o niepełnosprawności, w związku z prowadzonym przez nie postępowaniem, czy też zakładom ubezpieczeń (za zgodą pacjenta)
      Z opisu sprawy wynika, że podmiot, który się zwrócił do Państwa kwalifikuje się do drugiej grupy podmiotów.
      W związku z tym, że mamy zbyt mało informacji o stanie faktycznym, trudne jest jednoznaczne zajęcie stanowiska w opisanej sprawie. Zapraszamy na indywidualne konsultacje. Pozdrawiamy

  3. Marcin

    Dzień dobry, jeżeli pracodawca używa oprogramowania do monitorowania aktywności pracownika w sieci (odwiedzone strony, czas spędzony na poszczególnych stronach), czy ma obowiązek usuwania takich danych, a jeżeli tak, to w jakim maksymalnym czasie?

    1. Lex Artist

      Dzień dobry :-), w naszej opinii tak- powinny być usuwane. Dane mogą być przechowywane maksymalnie do czasu zakończenia określonego postępowania, w którym będą stanowić dowód. Pozdrawiamy!

  4. Michał

    Dzień dobry. Mam pytanie dotyczące „monitorowania aktywności w sieci” która została opisana w artykule. Pojawia się pytanie czy chodzi w tym wypadku o jakieś dedykowane narzędzia kontroli (jest dostępnych wiele programów, które mają pozwalać na kontrolę pracownika)?

    Przykładowo pracownik używając przeglądarki na służbowym komputerze „zostawia” swoją historię przeglądania, logując się do systemu informatycznego, a także tworząc i zapisując plik „zostawia” swój identyfikator lub dane związane z logowaniem (np. czas logowania i urządzenie). Te informacje są utrwalane przez system i aplikacje i w większości przypadków nie jest możliwe wyłączenie takich działań, ponieważ uniemożliwiłoby to funkcjonowanie systemu, a dodatkowo uniemożliwiłoby zabezpieczenie danych przed nieuprawnionym dostępem. Czy w takim wypadku dopiero systematyczna weryfikacja tych informacji („ręczna” lub za pośrednictwem aplikacji) stanowi monitoring?

    Dodatkowa wątpliwość pojawia się przy innych formach monitorowania pracowników. Czy nowym pracownikom należy przekazać informację o celach, zakresie i sposobie monitoringu, który ich będzie obejmował, czy o wszystkich formach monitoringu w zakładzie pracy nawet jeśli nigdy nie będą nimi objęci?

    Z góry dziękuję i pozdrawiam.

    1. Lex Artist

      Dzień dobry. Pisząc o monitoringu mieliśmy na myśli systematyczną weryfikację za pomocą dedykowanego do tego narzędzia kontroli. Jeśli chodzi o informowanie o innych formach monitoringu-informujemy jedynie o tym co będzie obejmowało zatrudnionego. Pozdrawiamy!

      1. Michał

        Bardzo dziękuję za odpowiedź 😉 Państwa blog jest jednym z niewielu w sieci gdzie można znaleźć rzetelne i merytoryczne, a do tego racjonalne informacje dotyczące naprawdę trudnego zagadnienia jakim jest ochrona danych osobowych. Do tego nie unikacie Państwo trudnych pytań i nie zbywacie czytelników. Pozdrawiam serdecznie.

  5. Derfel

    Dzień dobry,
    Mam pytanie dotyczące monitoringu GPS samochodu służbowego, udostępnianego również do celów prywatnych, ale w systemie bez możliwości wyłączenia monitoringu w dniach roboczych (pracownicy mają zadaniowy czas pracy i nie da się określić precyzyjnie godzin pracy). Czy wówczas podstawą przetwarzania danych nie może być jednak zgoda pracownika?

    1. Lex Artist

      Dzień dobry 🙂 Monitoring GPS ma za zadanie zbierać informacje jedynie podczas pracy. Wyrażenie zgody spowodowałoby możliwość sprawdzania geolokalizacji podczas czasu prywatnego. Dodatkowo przy zastosowaniu zgody należy pamiętać o definicja zgody (art. 4 pkt 11 RODO): zgoda osoby, której dane dotyczą oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych. Pozdrawiamy!

  6. Michał

    Dzień dobry.
    Mam pytanie w zakresie podstawy prawnej przetwarzania danych w związku ze stosowaniem monitoringu pracownika (zarówno wizyjnego jak i innych form monitoringu). W dużej części publikacji i publikacji (szczególnie po zmianach Kodeksu pracy z 4 maja 2019) podaje się że podstawą prawną będzie obowiązek prawny pracodawcy (art. 6 ust. 1 lit. c RODO) albo wskazuje że podstawą są po prostu przepisy Kodeksu pracy. Być może autorzy sugerują się brzmieniem art. 22 z ind. 1 § 4 – Pracodawca żąda podania innych danych osobowych niż określone w § 1 i 3, gdy jest to niezbędne do zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. Rozumiem, że mimo tego powoływanie się na na prawnie uzasadniony interes (art. 6 ust. 1 lit. f RODO) nadal jest prawidłowe i nic nie zmieniło się w tym zakresie od czasu publikacji artykułu?

    1. Lex Artist

      Dzień dobry 🙂
      tak, powoływanie się na na prawnie uzasadniony interes (art. 6 ust. 1 lit. f RODO) nadal jest prawidłowe. Odmienna sytuacja będzie w przypadku podmiotów publicznych – np. monitoring w szkołach -podstawa prawna art. 6 ust. 1 lit. e) RODO w związku z art. 108a Ustawy z dnia 14 grudnia 2016 r. Prawo oświatowe (tekst jedn. Dz. U. z 2018 r. poz. 996). W tych przypadkach należy pamiętać, że zgodnie z motywem 47 RODO, prawnie uzasadniony interes administratora nie ma zastosowania jako podstawa prawna do przetwarzania, którego dokonują organy publiczne w ramach realizacji swoich zadań. Pozdrawiamy!

  7. Kinga

    Witam,
    mam pytanie dot. obowiązku informacyjnego dla pracowników w przypadku monitoringu aktywności w sieci.
    Mianowicie: czy pracownik ma prawo do usunięcia danych, prawo do sprostowania danych, do wniesienia sprzeciwu? Wydaje mi się, że tak naprawdę nie ma. Ma jedynie prawo do dostępu do swoich danych i wniesienia skargi do UODO. Proszę o sprostowanie jeżeli się mylę.

    Dziękuję

    1. Lex Artist

      Dzień dobry :-), w naszej ocenie przy zastosowaniu monitoringu aktywności w sieci, realizacja wspomnianych przez Panią praw jest możliwa do wykonania przy zastosowaniu obecnie dostępnych rozwiązań technologicznych.
      Jeśli chodzi o prawo do sprzeciwu, będzie ono możliwe do wykonania tylko w przypadku podmiotów prywatnych, które mogą uznać za przesłankę legalizacyjną monitoring, tzw. prawnie uzasadniony interes administratora -art. 6 ust. 1 lit. f) RODO (zapewnienie właściwej organizacji pracy oraz właściwego użytkowania udostępnionych pracownikowi narzędzi pracy). Pozdrawiamy!

  8. Kk

    Dzień dobry mam pytanie dotyczące monitorowania samochodu systemem GPS który został przekazany mi jako pracownikowi również do wykorzystywania w celach prywatnych. Pracodawca nie poinformował mnie o zainstalowanym takim systemie w samochodzie. Dopiero przy składaniu mi wypowiedzenia zobaczyłem na biurku przełożonego wydruk z GPS mojego samochodu. Czy pracodawca miał do tego prawo. Jeżeli nie, to z jakimi konsekwencjami powinien się liczyć. Pozdrawiam

    1. Lex Artist

      Witamy 🙂 Nie ulega wątpliwości, że dane geolokalizacyjne są danymi osobowymi, ponieważ dzięki informacjom zebranym poprzez monitoring istnieje możliwość identyfikacji konkretnej osoby, np. poprzez datę oraz trasę przejazdu. W związku z tym na pracodawcy ciąży obowiązek poinformowania pracownika o tej formie monitorowania. Jeśli pracodawca nie dopełnił tego obowiązku naruszył przepisy o ochronie danych osobowych, ale także przepisy Kodeksu Pracy. O konsekwencjach decyduje organ, który oceni sprawę i podejmie decyzję o formie kary. Osobie, której dane były przetwarzane podczas monitoringu przysługuje w takim przypadku prawo do złożenia skargi do Prezesa UODO https://uodo.gov.pl/pl/83/155

  9. Jan

    Witam. W dzisiejszych czasach większość oprogramowania pracuje w oparciu o bazy danych. Bazy danych posiadają nieodłączne w działaniu wewnętrzne mechanizmy odnotowujące zmiany na danych w bazie. Czy przykładowo odnotowana w logach bazy informacja, o tym że pracownik (identyfikator jkowalski), dnia 13.01.2021 r. o godz. 18:10 dokonał wydania zmiany ilości towaru w magazynie poprzez jego wydanie, stanowi dane osobowe? Oczywiście powyższe przy założeniu, że pracodawca chciałby korzystać z mechanizmu logującego bazy, jako z narzędzia pozwalającego mu na ocenę np. wydajności pracownika.

    1. Lex Artist

      Dzień dobry 🙂 przedstawiony sposób oceny wydajności pracownika jest do dyskusji, jeśli chodzi o zakwalifikowanie go do monitoringu pracownika ujętego w Kodeksie pracy. Należy na pewno stwierdzić, że pozyskane z logów dane dają możliwość zidentyfikowania konkretnej osoby, zatem mamy do czynienia z danymi osobowymi. pozdrawiam

  10. PK

    Dzień dobry, w temacie monitoringu poczty elektronicznej – co właściwie jest tutaj przetwarzane – fakt wysłania maila, odbioru, czy również treść wiadomości? Czy to by oznaczało, że po upływie terminu na przetwarzanie danych dotyczących monitoringu pracodawca traci prawo do wglądu w wiadomości email wysłane przez pracownika?

    1. Lex Artist

      Dzień dobry, monitoring poczty elektronicznej polega najczęściej na cyklicznym sporządzaniu raportów, które mają na celu właściwą organizację pracy. Szczegóły dotyczące tej kwestii dostępne są stronie UODO https://uodo.gov.pl/pl/138/1635 Kwestie korzystania ze służbowej poczty elektronicznej powinien regulować regulamin, w którym opisujemy również warunki wglądu w wiadomości. Należy stwierdzić, że wgląd do danych nie musi być powiązany z monitoringiem poczty. Pozdrawiamy

  11. MEW

    Dzień dobry,
    pracodawca chce wprowadzić monitoring wizyjny w miejscu pracy, gdzie monitorowane byłoby wejście do biura. W zasięgu kamery byłby jeden pracownik, pracujący 8 godzin. Czy taki pracownik ma prawo nie wyrazić zgody na ciągłe monitorowanie? Jaka byłaby podstawa prawna? Cel jest taki: sprawdzanie kto wchodzi i wychodzi z biura

    1. Lex Artist

      Dzień dobry, monitoring w żaden sposób nie może ingerować w prywatność pracowników, zatem jeśli w opisanej sytuacji może dojść do takiej sytuacji wobec wspomnianego pracownika, monitoring można uznać za nielegalny. Pozdrawiamy!

Zostaw odpowiedź

* pola obowiązkowe

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.

Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.

Czas na rodo

Czy wiesz że?

Prowadzimy najpopularniejszy w Polsce kanał na YouTube poświęcony RODO.

Oglądaj czas na RODO