RODO przyniosło za sobą wiele zmian w przepisach i egzekwowaniu prawa do prywatności oraz cyfrowego przetwarzania danych. Jednym z elementów wymagających bliższego poznania jest monitorowanie aktywności pracowników. Dotyczy to przede wszystkim kamer oraz nowoczesnych systemów, dzięki którym pracodawca jest w stanie, m.in. śledzić czas pracy lub aktywność osób zatrudnionych. Te informacje zawarto w Kodeksie pracy po nowelizacji w 2018 roku.
Dobra osobiste i prywatność pracownika
Jeśli organizacja chce wdrożyć dowolną formę monitorowania pracownika, musi mieć na uwadze jego dobra osobiste oraz prywatność. Przed ich wdrożeniem, należy dokonać szczegółowej analizy, w jakim stopniu do osiągnięcia celu założonego przez pracodawcę, taki monitoring jest niezbędny. Jeżeli można go osiągnąć na kilka różnych sposobów, niezbędne jest wybranie tego, który w najmniejszym stopniu wpływa na prywatność pracownika (m.in. w nawiązaniu do zasady privacy by default). Jeśli rozważany jest na przykład monitoring poczty elektronicznej, należy wziąć pod uwagę, że jego działania nie mogą dotyczyć prywatnej korespondencji pracownika (prawo do prywatności wynikające z konstytucji, prawo do tajemnicy korespondencji oraz nienaruszalność dóbr osobistych pracownika).
Cele organizacji a monitoring
Pracodawca decydując się na monitoring musi bezwzględnie zachować prawo do prywatności w miejscu pracy. Musi wykazać istotny powód związany z profilem pracy świadczący o zachowaniu jego dobra. Prowadzony nadzór nie może naruszać tajemnicy korespondencji oraz innych dóbr osobistych pracownika. Jeśli pracodawcy zależy na kontroli, może jej dokonać jedynie na podstawie art. 22 Kodeksu pracy, tzn. “zapewnienia organizacji pracy umożliwiającej pełne wykorzystywanie czasu pracy” oraz “właściwego użytkowania udostępnionych pracownikowi narzędzi pracy” (np. samochodu służbowego). Jeśli więc pracodawca wdraża jakąkolwiek formę monitoringu, powinien kierować się dobrem pracownika.
Formy monitoringu a prywatność
Monitorowanie aktywności i wypełnianych obowiązków przez pracownika staje się coraz popularniejszym rozwiązaniem w organizacjach. Chętnie sięga się w takich wypadkach po nowe technologie i oprogramowanie. Ich elementy mogą pośrednio lub bezpośrednio wpływać na prywatność pracowników. Oprócz służbowej poczty elektronicznej monitoruje się zwykle czas pracy, telefon lub samochód służbowy. Na szczęście ramy tych działań określa Kodeks pracy. Nie ma jednak zamkniętej listy technologii, którą można wykorzystywać w tym celu. Dlatego też regularnie zaczyna się wdrażać nowoczesne rozwiązania.
Aktywnie weryfikuje się także sposób, w jaki pracownik korzysta z sieci oraz ogranicza się jego dostęp do niektórych stron i serwisów. Jedną z form jest także weryfikacja historii przeglądania. Osoby korzystające z samochodów służbowych, często do pojazdów mają mocowane lokalizatory GPS, a w przypadku telefonów komórkowych weryfikuje się bilingi rozmów. To oczywiście nie wyczerpuje puli kontroli po stronie firm. Granice w zasadzie ustanawiane są przez technologię oraz potrzeby organizacji do momentu naruszenia strefy prywatności pracownika oraz chroniących go przepisów. Aby przeprowadzić monitoring zgodny z RODO, należy zastosować się do szeregu procedur i wytycznych określonych w Rozporządzeniu, a także zastosowania klauzuli RODO w stosowanym monitoringu. Należy przy tym pamiętać, że organizacja jest zobowiązana do prowadzenia odpowiedniej dokumentacji oraz uzasadnienia swoich działań.
Podstawowe formy monitoringu w kontekście celów zgodne z RODO
Aby organizacja mogła prowadzić monitoring zgodny z RODO, musi ustalić cel, zakres oraz sposób w jaki będzie on stosowany. Wykorzystanie monitoringu w firmie powinno zostać opisane w regulaminie lub obwieszczeniu (opcjonalnie w układzie zbiorowym pracy), a elementy w nim zawarte powinny być szczegółowe oraz jasne dla obu stron.
Wewnętrzne regulacje powinny skupiać się na kilku elementach:
- W przypadku poczty e-mail, zapisy te powinny zawierać warunki dostępu do służbowej skrzynki mailowej pracownika (np. w czasie jego dłuższej absencji/ na bieżąco, kto posiada do tych działań uprawnienia lub czy będą w tym celu wykorzystywane odpowiednie programy).
- Weryfikacja aktywności pracownika w sieci, to zwykle blokowanie stron z treściami o określonym charakterze. W przypadku wprowadzenia regulacji należy uwzględnić, czy taki proces powinien zachodzić na bieżąco czy na podstawie historii przeglądania, która jest analizowana, a jeśli tak, to przez kogo i w jaki sposób.
- W przypadku lokalizacji GPS, uwzględnić należy czy monitoring dotyczy tylko położenia pojazdu, czy także jego prędkości lub samego uruchomienia. Kto i w jaki sposób oraz do jakich celów będzie wykorzystywał te informacje.
- Czy zasady użytkowania pojazdów służbowych zawarte są w regulaminie i w jakim stopniu można je wykorzystywać do celów prywatnych. Czy pracownik może wyłączyć lokalizator?
- Ostatni element to śledzenie bilingów rozmów telefonicznych. Zapisy powinny dotyczyć monitoringu z zakresu: połączeń przychodzących, wychodzących, wiadomości SMS oraz wiadomości wysyłanych przez internet. Powinny również określać, w jaki sposób można korzystać z telefonu w celach prywatnych.
Podsumowanie
Nowelizacja art. 22 Kodeksu pracy z 2018 roku określa m.in. dopuszczalne granice monitoringu, prawa pracowników w tym zakresie oraz obowiązki pracodawcy, których należy przestrzegać w związku z uruchomieniem oraz utrzymaniem różnych form monitorowania w danej organizacji. Przetwarzane dane mogą dotyczyć danych wrażliwych, w szczególności informacji o lokalizacji lub innych czynnikach określających daną osobę, tj. elementy fizyczne, fizjologiczne, genetyczne, psychiczne, ekonomiczne, kulturowe lub społeczne.
Jakakolwiek forma monitoringu wykonywana przez pracodawcę może mieć wpływ na prywatność i dobra osobiste pracownika. Z tego powodu na organizacjach spoczywa obowiązek stworzenia i przeprowadzenia oceny, czy taka procedura może zostać wdrożona ze względu na cele firmy, które chce osiągnąć. Choć życie prywatne może zawierać elementy życia zawodowego, to jednak metody nadzoru muszą mieć wyraźną i dokładną podstawę prawną, by nie ingerowały w prywatność danej osoby.