Kiedy monitoring pracowniczy wiąże się z koniecznością wykonania oceny skutków dla ochrony danych (art. 35 RODO)?

Pracodawca korzystający z pewnych form monitoringu pracowniczego zwłaszcza opartego o zastosowanie nowych technologii musi brać pod uwagę obowiązki związane z zapewnieniem zgodności z wymogami dotyczącymi bezpieczeństwa przetwarzania danych osobowych.

Trzeba mieć na względzie, że dodatkowe obowiązki dotyczą nieraz trudnej do przeprowadzenia oceny skutków dla ochrony danych (z ang. „DPIA” czyli Data Protection Impact Assessment). Choć Parlament Europejski opisał ocenę skutków jako „zasadniczy rdzeń każdego zrównoważonego planu ochrony danych” to wciąż wielu administratorów ma problemy z jej wykonaniem.

Dodatkowo, aby możliwe było wprowadzenie monitoringu w rozumieniu przepisów Kodeksu pracy należy mieć na względzie, że monitoring pracowniczy może być stosowany tylko w określonych przypadkach.

Poniżej kilka kwestii, które należy brać pod uwagę, gdy decydujemy się na zastosowanie w organizacji np. lokalizacji pojazdów GPS lub monitoringu poczty e-mail.

1. Po pierwsze wskazać należy, że monitoring pracowniczy może zostać wdrożony wyłącznie w sytuacji, gdy służy realizacji jednego z celów określonych w art. 22(3) § 1 Kodeksu pracy, czyli  zapewnienia organizacji pracy umożliwiającej pełne wykorzystanie czasu pracy oraz właściwego użytkowania udostępnionych pracownikowi narzędzi pracy.
2. Powyższy wymóg dotyczy monitoringu poczty e-mail, ale zgodnie z art. 22(3) § 4 Kodeksu pracy w/w przepis należy stosować analogicznie do innych postaci monitoringu pracowniczego, czyli np. monitoringu lokalizacji pojazdów GPS użytkowanych przez pracowników lub rozmów telefonicznych prowadzonych z wykorzystaniem służbowych telefonów. .
3. Zwraca uwagę, że przepisy Kodeksu pracy mówią, że wdrożenie monitoringu pracowniczego ma miejsce, gdy odnosi się do „zapewnienia organizacji pracy (…)” oraz „właściwego użytkowania udostępnionych pracownikowi narzędzi pracy”, co oznacza, że jeśli cel jest inny i dotyczy np. prowadzenia niepracowniczych analiz, gdzie dane osobowe zatrudnionych są anonimizowane albo ich przetwarzanie nie będzie stanowiło podstawowego celu (np. dotyczy zapewnienia wysokiej jakości obsługi klienta albo monitorowanie tras z wykorzystaniem GPS i analizy danych, czy też zwiększenie bezpieczeństwa lub optymalizację kosztów), to stosowanie danej formy monitoringu nie będzie wiązało się z koniecznością spełnienia rygorystycznych wymogów określonych w Kodeksie pracy. Wśród obowiązków pracodawcy wdrażającego daną szczególną formę monitoringu jest między innymi poinformowanie pracowników o wprowadzeniu monitoringu (np. poczty e-mail) w sposób u niego przyjęty, nie później niż dwa tygodnie przed jego uruchomieniem, czy też opracowanie stosowanych klauzul informacyjnych.
4. Powyższe wiąże się jednak z pewnym ryzykiem, że wszelkie zebrane dane w związku z analizą czynności pracowników zapisanych przez monitoring mogą stanowić dane osobowe. Czy zatem pracodawca może je przechowywać i analizować? Tak, ale tylko w przypadku dopełnienia obowiązków wskazanych w Kodeksie pracy. Pracodawca może jednak podjąć pewne kroki dla zapewnienia, że dane pracowników nie będą zbędnie przetwarzane (analizowane i przechowywane), gdy chodzi np. wyłącznie o zapewnienie właściwych procedur obsługi klienta i badania jego zachowania, czy też w celu np. ustaleniu lokalizacji pojazdu dopiero w przypadku jego kradzieży.
5. W przypadku, gdy pracodawca uzyskuje pewne dane pochodzące z monitoringu na temat pracowników trzeba mieć na względzie, iż wdrożenie szczególnej postaci monitoringu pracowniczego (czyt. innego niż systemy monitoringu wizyjnego, w których obraz jest nagrywany i wykorzystywany tylko w przypadku potrzeby analizy incydentów naruszenia prawa) prowadzi często w konsekwencji do obowiązku wykonania DPIA. Wynika to jednoznacznie z treści Komunikatu Prezesa UODO z dnia 17 czerwca 2019 r. w sprawie wykazu rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony.
6. Wskazany powyżej Komunikat Prezesa UODO wskazuje wśród potencjalnych obszarów wystąpienia okoliczności wymagających DPIA m.in. zakłady pracy (monitoring systemów informatycznych poczty elektronicznej, używanego oprogramowania, kart dostępowych itp.), a jako okoliczności, w których może wystąpić wysokie ryzyko naruszenia dla danego rodzaju operacji przetwarzania m.in. systemy monitoringu pojazdów nawiązujące połączenia z otoczeniem, w tym z innymi pojazdami.
7. W rezultacie pracodawca, który na podstawie dokonanej pre-oceny danego procesu wdrażającego monitoring powinien przeprowadzić dodatkową analizę (co warte podkreślenia odrębną i następczą wobec zwykłej analizy ryzyka poprzedzającej wdrożenie wszelkich czynności przetwarzania w organizacji), której opis powinien zawierać co najmniej:
   • systematyczny opis planowanych operacji przetwarzania i celów przetwarzania, w tym, gdy ma to zastosowanie – prawnie uzasadnionych interesów realizowanych przez administratora;
   • ocenę, czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów;
   • ocenę ryzyka naruszenia praw lub wolności osób, których dane dotyczą; oraz
   • środki planowane w celu zaradzenia ryzyku, w tym zabezpieczenia oraz środki i mechanizmy bezpieczeństwa mające zapewnić ochronę danych osobowych i wykazać przestrzeganie niniejszego rozporządzenia, z uwzględnieniem praw i prawnie uzasadnionych interesów osób, których dane dotyczą, i innych osób, których sprawa dotyczy.
8. W przypadku kwestii dotyczących monitoringu warto także pamiętać, że RODO przewiduje, że w stosownych przypadkach administrator zasięga opinii osób, których dane dotyczą, lub ich przedstawicieli w sprawie zamierzonego przetwarzania, bez uszczerbku dla ochrony interesów handlowych lub publicznych lub bezpieczeństwa operacji przetwarzania.
9. Przeprowadzenie powyższych czynności pozwoli na przygotowanie niezbędnych dokumentów (ocena skutków dla ochrony danych powinna zostać udokumentowana zgodnie z wymogiem art. 5 ust. 2 RODO dotyczącym rozliczalności), a stosowanie ich – po stwierdzeniu takiej konieczności w związku z brzmieniem przepisów KP, RODO oraz treści powołanego Komunikatu Prezesa UODO – umożliwi zapewnienie odpowiedniego wdrożenia szczególnej postaci monitoringu w organizacji zatrudniającej pracowników.