Czy pracodawca może monitorować pracownika?

Pytanie jest ciągle aktualne. W związku z tym, przypominamy wyrok Naczelnego Sądu Administracyjnego z dnia 13 lutego 2014 r., I OSK 2436/12 wraz zasadniczymi motywami rozstrzygnięcia istotnymi z punktu widzenia ochrony danych osobowych.

Sprawa dotyczyła pozyskiwania przez pracodawcę danych osobowych pracownika w postaci adresu IP komputera, czasu zainicjowania połączeń, adresów stron internetowych lub plików, z którymi nastąpiło połączenie oraz oznaczenia określające metodę przesyłania danych wykorzystaną przy poszczególnych połączeniach.

NSA wskazał, że „zgodnie z art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych, przetwarzanie danych jest dopuszczalne tylko wtedy, gdy jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. Przykładowe określenie prawnie usprawiedliwionego celu zawiera art. 23 ust. 4 tej ustawy.

(..) trafnie w świetle powyższych regulacji prawnych Sąd pierwszej instancji przyjął, że o ile można byłoby zgodzić się z twierdzeniem organu, że działania podejmowane przez ówczesnego pracodawcę skarżącego jako administratora danych, znajdują oparcie w powyższych przepisach prawa w zakresie niezbędności wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratora, o tyle nieuprawniony jest pogląd organu, że przetwarzanie danych osobowych skarżącego nie naruszało jego praw i wolności. (…) Sąd ten akcentuje, że taki monitoring musi spełniać wymogi zgodności z prawem, usprawiedliwionego celu, proporcjonalności, transparentności oraz uwzględnienia przepisów o ochronie danych osobowych. Wymóg transparentności oznacza, że pracownicy powinni mieć świadomość, że są poddawani monitoringowi. Pracodawca winien zatem szczegółowo określić zasady monitoringu i zapoznać z nimi pracowników, którzy fakt zapoznania się powinni potwierdzić stosownym podpisanym oświadczeniem o ich akceptacji.

Identycznego stanu faktycznego, jaki ma miejsce w niniejszej sprawie dotyczy powołany trafnie przez Sąd pierwszej instancji wyrok Europejskiego Trybunału Praw Człowieka z dnia 3 kwietnia 2007 r. w sprawie Copland przeciwko Zjednoczonemu Królestwu (sygn. 62617/00), w którym Trybunał uznał, że rozmowy telefoniczne z pracy, e-maile i użytkowanie Internetu są objęte terminami „życie prywatne” i „tajemnica korespondencji”. Trybunał stwierdził, że w okolicznościach rozpatrywanej przez niego sprawy doszło do ingerencji w prawa zagwarantowane przez art. 8 Europejskiej Konwencji o Ochronie Praw Człowieka i Podstawowych Wolności.

(…) Niepoinformowanie skarżącego, będącego pracownikiem A., o istnieniu funkcjonalności systemu polegającej na gromadzeniu informacji pomiędzy siecią wewnętrzną a siecią Internet powodowało, że skarżący nie miał świadomości, że jest poddawany monitoringowi, a brak ten pozbawiał prowadzonego monitoringu transparentności i naruszał prawo do prywatności.

Trafnie w świetle powyższego Sąd pierwszej instancji przyjął, że przy przyjęciu, że monitoring systemu informatycznego jest niezbędny dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez pracodawcę jako administratora danych, art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych nie mógł być przesłanką legalnego przetwarzania danych osobowych skarżącego, gdyż przetwarzanie to naruszało prawo do prywatności w sytuacji, kiedy skarżący nie miał świadomości monitoringu użytkowania komputera.”

Powyższe prowadzi do wniosku, że zastosowanie rozwiązań technicznych służących monitorowaniu aktywności pracownika powinno być uzupełnione o element organizacyjny polegający na poinformowaniu pracownika o podejmowanych działaniach – „Pracodawca winien zatem szczegółowo określić zasady monitoringu i zapoznać z nimi pracowników, którzy fakt zapoznania się powinni potwierdzić stosownym podpisanym oświadczeniem o ich akceptacji”.

Z poważaniem,
Tomasz Cygan

Napisz komentarz/zapytanie

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

thirteen + thirteen =