Prawo pracy, a ochrona danych osobowych i szeroko rozumiana prywatność sprzeczności czy zależności?
Ustawa z dnia 26 czerwca 1974 r. kodeks pracy sama w sobie wskazuje, że pracodawca może wprowadzić kontrolę służbowej poczty elektronicznej pracownika, jeżeli jest to niezbędne do zapewnienia organizacji pracy umożliwiającej pełne wykorzystanie czasu pracy oraz właściwego użytkowania udostępnionych pracownikowi narzędzi pracy. Dodatkowo art. 22 3 wskazuje, że do monitoringu poczty elektronicznej stosuje się przepisy dotyczące monitoringu wizyjnego. To nakłada obowiązki na pracodawcę, jednocześnie administratora danych osobowych ustalanych w wewnętrznych aktach (układ zbiorowy, regulamin pracy bądź obwieszczenie) tj. celu, zakresu oraz sposobu stosowania monitoringu. Pracownik w momencie rozpoczęcia pracy powinien otrzymać informację w tym zakresie, pracownicy już zatrudnieni powinni taką informację dostać co najmniej dwa tygodnie przed wdrożeniem monitoringu.
Co więcej obszar monitorowany powinien być oznaczony w sposób czytelny. Zasady więc powinny być transparentne dla wszystkich.
Co do zasady powinny funkcjonować regulacje, które wyraźne wskażą jak oznaczać prywatne maile i prywatne spotkania, pracodawca nie może bowiem w nie ingerować. Monitoring zgodnie z przepisami nie może naruszać tajemnicy korespondencji i dóbr osobistych pracownika.
Na czym monitoring poczty może polegać:
- 1) blokowaniu maili :
- a) po rozpoznaniu, że adresaci nie należą do organizacji,
- b) ze względu na wielkość załączników,
- c) zawierających określone określenia/sformułowania
- 2) możliwości weryfikacji maili.
Potencjalnie powyższe czynności mają ochronić przed wyciekiem danych, przed wysyłką do
nieuprawnionych odbiorców, monitorowania i przeciwdziałania działaniom zmierzających do
dyskryminacji, mobbingu czy molestowania.
Przetwarzanie danych osobowych w tym przypadku oprzeć można na uzasadnionym
prawnie interesie administratora (art. 6 ust. 1 lit. f RODO). W takim wypadku muszą być
spełnione trzy przesłanki:
1) musi wystąpić prawnie uzasadniony interes administratora,
2) przetwarzanie musi być niezbędne dla realizacji celu wynikającego z tego interesu,
3) interes musi mieć charakter nadrzędny dla interesów lub praw i wolności podmiotu
danych.
Może inaczej da się osiągnąć zamierzony cel? To wymaga analizy. Wprowadzenie
monitoringu od strony ochrony danych osobowych wymaga również przeprowadzenia oceny
skutków dla ochrony danych.
Korzystając z narzędzi automatycznych ciężko jest znaleźć złoty środek, by zachować prawo
do prywatności pracownika nie naruszone.
Bardzo ważne są więc kwestie uregulowań, komunikacji, oznaczeń, polityk wewnętrznych i
zabezpieczeń od strony informatycznej. Monitoring poczty jest bowiem rozwiązaniem
będącym już standardem w dzisiejszych kulturach organizacyjnych, niestety często bez
zachowania zasad transparentności uwzględniających zarówno przepisy prawa pracy jak i
ochrony danych osobowych. Przed wdrożeniem rozwiązania warto przeanalizować oba
obszary regulacji będące w tym wypadku w zastosowaniu, nie są one sprzeczne, są od
siebie zależne i wzajemnie się uzupełniają.