Czym jest monitorowanie poczty elektronicznej. Cele stosowania monitoringu poczty elektronicznej.

Zgodnie z §1 art. 22³  Kodeksu pracy monitoring poczty elektronicznej  może być prowadzony przez pracodawcę wyłącznie w następujących celach:

 - jeżeli jest to niezbędne do zapewnienia organizacji pracy umożliwiającej pełne wykorzystanie czasu pracy,

 - do właściwego użytkowania udostępnionych pracownikowi narzędzi pracy.

Oznacz to, że monitoring poczty elektronicznej może być prowadzony w celu  kontroli przestrzegania czasu pracy pracowników, tj. czy pracownik  wykonuje działania służbowe, czy w czasie pracy podejmuje działalność prywatną. Ponadto pracodawca ma prawo  monitorować ruch sieciowy i e-maile wychodzące w celu weryfikacji, czy pracownik nie narusza obowiązku zachowania w tajemnicy informacji chronionych oraz czy w kontaktach mailowych nie działa na niekorzyść pracodawcy.

Pracodawca również może monitorować kopiowanie plików na urządzenia pamięci, siedzenie na portalach społecznościowych, korzystanie  z serwerów pornograficznych, załatwiania przez pocztę służbową  spraw prywatnych.

Trzeba pamiętać, że uprawnienia monitorowania poczty elektronicznej dotyczą tylko służbowej poczty elektronicznej. Pracodawca nie może kontrolować prywatnej korespondencji swoich pracowników (Patrz „Ochrona danych osobowych w miejscu pracy. Poradnik dla pracodawców”)

Podstawa prawna przetwarzania danych.

Kodeks pracy nie zobowiązuje pracodawcę do stosowania monitoringu, a jedynie daje taką możliwość. Więc podstawą prawną takiej czynności przetwarzania nie będzie  art. 6 ust.1 lit. c RODO. Co do zasady, przesłanką dopuszczalności stosowania monitoringu poczty elektronicznej będzie prawnie uzasadniony interes, tj. art.6 ust.1 lit. f RODO. 

Prezes Urzędu Ochrony Danych Osobowych stoi na stanowisku, że ta podstawa nie ma zastosowania do przetwarzania, którego dokonują organy publiczne w ramach realizacji swoich zadań. Według Wskazówek PUODO  dotyczących wykorzystywania monitoringu wizyjnego „najbardziej odpowiadającymi stosowaniu monitoringu wizyjnego przesłankami są wypełnienie obowiązku prawnego ciążącego na administratorze, wykonanie zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi”

Zakres i sposób stosowania monitoringu

O dopuszczalności  stosowania monitoringu poczty elektronicznej pracowników  wypowiedział się  Europejski Trybunał Praw Człowieka (ETPC). W Wyroku z 5 września 2017 r. w sprawie Bărbulescu przeciwko Rumunii Wielka Izba  ETPC stwierdziła, że śledzenie poczty elektronicznej personelu jest bowiem dopuszczalne, jednakże że zanim pracodawca zdecyduje się stosować monitoring poczty elektronicznej w miejscu pracy, musi poinformować o tym pracownika.

Decydując na stosowanie poczty elektronicznej pracodawca musi określić cele, zakres oraz sposób zastosowania monitoringu. Informacje te ustalają się w układzie zbiorowym pracy lub w regulaminie pracy albo w obwieszczeniu, jeżeli pracodawca nie jest objęty układem zbiorowym pracy lub nie jest obowiązany do ustalenia regulaminu pracy.  Ponadto powinny one być także przekazane pracownikowi na piśmie jeszcze przed dopuszczeniem pracownika do pracy.

O fakcie wprowadzenia monitoringu pracodawca powinien poinformować pracownika  nie później niż dwa tygodnie przed jego uruchomieniem. Pracodawca jest zobowiązany poinformować pracowników o stosowaniu monitoringu poczty elektronicznej i monitoringu sieci. Te informacje można zamieścić w formie karty informacyjnej lub tabliczki w monitorowanym pomieszczeniu lub w formie wyświetlającego się okna na monitorowanych urządzeniach.

Pracodawca powinien oznaczyć pomieszczenia i teren monitorowany w sposób widoczny i czytelny, za pomocą odpowiednich znaków lub ogłoszeń dźwiękowych, nie później niż jeden dzień przed jego uruchomieniem.

Dodatkowo pracodawca musi  wykonać w stosunku do monitorowanych pracowników obowiązek informacyjny określony w RODO.

Obowiązek przeprowadzenia oceny skutków przetwarzania dla ochrony danych

Monitoring poczty elektronicznej pracowników wiązy się z wykorzystaniem nowych technologii, w szczególności systemów informatycznych stosowanych w kontroli pracowników, a zatem ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych.

W związku z tym, każdy pracodawca powinien przed wprowadzeniem monitoringu poczty elektronicznej rozważyć, czy planowane operacje podlegają obowiązkowi przeprowadzenia oceny ryzyka naruszenia praw lub wolności osób i oceny skutków przetwarzania dla ochrony danych. Wskazówką w tym zakresie jest Wykaz rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony opracowany przez Prezesa Urzędu Ochrony Danych Osobowych na podstawie art. 35 ust. 4 RODO.

Inne kwestie

Wprowadzając monitoring poczty elektronicznej pracodawca musi  stosować tylko takie środki które są proporcjonalne do celu przetwarzania danych, aby nie przekroczyć granic prywatności pracownika oraz taką formę monitoringu, która nie narusza tajemnicy korespondencji oraz innych dóbr osobistych pracownika (§2 Art. 22³ KP) .

Co do zasady, służbowa poczta elektroniczna powinna być wykorzystywana przez pracownika wyłącznie w celach służbowych. Jednak jeżeli pracownik, za zgodą pracodawcy, korzysta ze służbowej poczty elektronicznej w celach prywatnych, to  pracodawca powinien wdrożyć takie rozwiązania, które będą uniemożliwiały wglądu administratora w treść prywatnych wiadomości pracownika.  Zapoznanie  się z treścią winno być dopuszczalne tylko w momencie, gdy pracodawca ma podejrzenie np.  popełnienia przestępstwa, powodowania  poważnych skutków wyzwanych incydentem bezpieczeństwa lub naruszenia ochrony danych.

W celu zmniejszenia ryzyka powstania konfliktów na tle naruszenia prywatności pracownika w toku monitoringu Grupa Robocza Art. 29 w Opinii 2/2017 z dnia 8 czerwca 2017 r. na temat przetwarzania danych w miejscu pracy wskazała, że dobrą praktyką jest zaoferowanie pracownikom alternatywnego, niemonitorowanego dostępu, oferując pracownikom możliwość skorzystania z bezpłatnej sieci Wi-Fi lub z samodzielnych urządzeń lub terminali, gwarantujących poufność komunikacji.

Zaleceniem Grupy Roboczej art. 29 jest również opracowanie i wdrożenie polityki ze wskazaniem dopuszczalnych sposobów korzystania z sieci i ze sprzętu organizacji aby pracownik wiedział, jakich działań unikać, by nie narażać się na utratę prywatności oraz na negatywne konsekwencje wynikające z monitoringu.

W sprawie prowadzenia monitoringu e-mail poczty pracowników bardzo pomocniczymi mogą być Wskazówki  Fińskiego organu nadzorczego, określające w jakich przypadkach pracodawca może uzyskiwać dostęp do służbowej poczty e-mail pracownika. Mimo odwołania się w treści artykułu na fińskie akty prawne,  które w Polsce  nie obowiązują większość wniosków i zaleceń mają charakter uniwersalny.

Istotne jest również, aby pracodawca uwzględnił okres przetwarzania danych pozyskiwanych w ramach prowadzonego monitoringu poczty elektronicznej. Kodeks pracy nie reguluje okresu retencji danych, co oznacza, że do ustalania okresów przechowywania tych danych stosują się zasady ogólne RODO: ograniczenia celu, ograniczenia przetwarzania i minimalizacji danych. Okres ten powinien być nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane.

Olga Sklyarova, specjalista ds. ochrony danych,  audytor JDS Consulting