PRAWO

Monitoring poczty elektronicznej – jak wyważyć ochronę dóbr osobistych pracownika i interes firmy?

W dniu 25 maja 2018 r. weszły w życie zmiany do Kodeksu pracy regulujące monitoring poczty elektronicznej. Natomiast w dniu 4 października 2018 r. Urząd Ochrony Danych Osobowych wyjaśnił niektóre wątpliwości praktyczne z tym związane w „Poradniku dla pracodawców”.

Przypomnieć należy, że zgodnie z art. 223 Kp pracodawca może wprowadzić monitoring poczty elektronicznej pracownika, jeżeli jest to niezbędne do zapewnienia organizacji pracy umożliwiającej pełne wykorzystanie czasu pracy oraz właściwego użytkowania udostępnionych pracownikowi narzędzi pracy. Monitorowana może więc być służbowa poczta elektroniczna pracownika, ale – jak zaznaczył UODO – w czasie pozostawania pracownika w dyspozycji pracodawcy w miejscu pracy. Przykładowo może to polegać na kontrolowaniu czy pracownicy nie korzystają z witryn, które nie służą wykonywaniu obowiązków służbowych.

Jak wyjaśnia się w piśmiennictwie (Gawroński Maciej, Kloc Katarzyna, Monitoring jako jedna z kluczowych zmian wprowadzonych przez ustawę o ochronie danych osobowych): „Pracodawca ma prawo monitorować ruch sieciowy i e-maile wychodzące, pod kątem różnego typu danych w celu wychwytywania anomalii zachowania, które z kolei mogą wskazywać na naruszenie bezpieczeństwa lub dyscypliny pracy. E-maile wychodzące można monitorować co do ilości danych przesyłanych i domen, np. popularnych darmowych kont pocztowych, aby wychwytywać przesyłanie danych firmowych na prywatne adresy e-mail. Można również monitorować: kopiowanie plików lub danych na urządzenia pamięci masowej; popularne siedzenie na Facebooku czy innych portalach społecznościowych, korzystanie z serwisów pornograficznych na sprzęcie firmowym, ściąganie dużych ilości danych, żeby ustalić, czy ktoś nie korzysta z Youtube i nie ogląda filmików zamiast pracować, korzystanie przez pracowników z numerów 0700 i innych drogich połączeń, nadto można geolokalizować położenie floty firmowej lub szczególnych urządzeń firmowych, np. terminali kurierskich.

Jednocześnie kontrola nie może naruszać tajemnicy korespondencji oraz innych dóbr osobistych pracownika. Nie oznacza to jednak całkowitego zakazu monitorowania treści e-maili, gdyż pełen zakaz uniemożliwiłby skuteczne prowadzenie monitoringu i choćby ochronę przed ujawnieniem tajemnic przedsiębiorstwa. Chodzi tu o odpowiednie wyważenie ochrony dóbr osobistych pracownika (prawo do poszanowania życia prywatnego) z prawem pracodawcy do monitoringu, aby zapewnić sprawne prowadzenie przedsiębiorstwa. Wskazówki dotyczące prawidłowego wyważenia tych interesów można odnaleźć w wyroku Trybunału w wyroku z 5.09.2017 r., 61496/08, Barbulescu przeciwko Rumunii. Przykładowo, konieczne jest uprzednie poinformowanie o monitorowaniu treści, szczególne usprawiedliwienie celów monitorowania treści (np. popełnienie przestępstwa, działania na szkodę pracodawcy), które nie mogą być osiągnięte przez zastosowanie środków mniej uciążliwych, moment dostępu do treści korespondencji i ograniczenia liczby osób mających taki dostęp. Nawet oznaczenie wiadomości przez pracownika jako „prywatna” nie musi w każdym przypadku wyłączać jej monitorowania przez pracodawcę.

Według UODO pracodawca nie może kontrolować prywatnej korespondencji swoich pracowników (prywatnej skrzynki pocztowej pracownika). Nie powinno to jednak wykluczać monitoringu korzystania z takiej skrzynki w trakcie godzin pracy, ani treści e-mail przesyłanych ze skrzynki służbowej na skrzynkę prywatną na omówionych wyżej zasadach.

Obowiązki pracodawcy związane ze stosowaniem monitoringu poczty:
– pracodawca musi ustalić cel, zakres oraz sposób zastosowania monitoringu poczty elektronicznej w układzie zbiorowym pracy lub regulaminie pracy, bądź w obwieszczeniu – jeżeli nie jest objęty układem zbiorowym pracy lub nie jest obowiązany do ustalenia regulaminu pracy.
– pracodawca musi powiadomić pracowników o celu, zakresie oraz sposobie zastosowania monitoringu, a także o planowanym uruchomieniu monitoringu, najpóźniej na 2 tygodnie przed jego uruchomieniem (poza sytuacjami, kiedy monitoring taki jest już stosowany). W przypadku nowych pracowników realizacja tego obowiązku powinna nastąpić przed dopuszczeniem ich do pracy. Ponadto w przypadku pracowników, który zostali już dopuszczeni do pracy, pracodawca powinien poinformować ich o zamiarze prowadzenia monitoringu.
– pracodawca musi dopełnić obowiązków informacyjnych określonych w RODO.

Autor: Jacek Wilczewski, radca prawny, Bosetti Global Consulting