Czy pracodawca może kontrolować służbową skrzynkę pracownika?
Zastosowanie monitoringu poczty elektronicznej w firmie staje się coraz popularniejszym narzędziem kontroli pracowników. To wyzwanie organizacyjne dla pracodawcy, bo z jednej strony powinien zapewnić zgodność wewnętrznych regulacji z RODO, a z drugiej z Kodeksem Pracy, który wymaga poinformowania pracownika o prowadzeniu monitoringu poczty.
„Zgodnie z art. 223 ustawy z dnia 26 czerwca 1974 r. Kodeksu pracy jeżeli jest to niezbędne do zapewnienia organizacji pracy umożliwiającej pełne wykorzystanie czasu pracy oraz właściwego użytkowania udostępnionych pracownikowi narzędzi pracy, pracodawca może wprowadzić kontrolę służbowej poczty elektronicznej pracownika (monitoring poczty elektronicznej)”.
W ostatnim roku pojawiło się jednak kilka ciekawych wypowiedzi europejskich organów nadzorczych dotyczących stosowania w firmach monitoringu poczty elektronicznej pracowników. Odpowiadają one na wiele pytań dotyczących dostępu do poczty elektronicznej pracowników oraz osób, z którymi zakończono już współpracę. Sprawy są o tyle ciekawe, bo rodzime UODO nie przeprowadziło w sprawie monitoringu poczty pracowników postępowania zakończonego wydaniem decyzji administracyjnej.
Stanowiska europejskich organów ochrony danych
Włoski organ ochrony danych osobowych (GARANTE PER LA PROTEZIONE DEI DATI PERSONALI: dalej Garante) ukarał spółkę Mapei karą 15 tys. Euro za utrzymywanie dostępu do imiennej, służbowej skrzynki pocztowej byłego pracownika. Garante uzasadniając decyzję o wymierzeniu kary argumentowało, że ukarana firma nie poinformowała byłego pracownika o aktywności jego imiennego adresu służbowej poczty elektronicznej po ustaniu zatrudnienia. Z ustaleń dokonanych przez organ nadzorczy wynika, że korespondencja z tego konta była przekierowywana do byłego przełożonego. Przez ten czas były pracodawca miał dostęp do prywatnych wiadomości kierowanych na skrzynkę zwolnionego z pracy pracownika. W ocenie włoskiego organu nadzorczego w opisanej sprawie doszło do naruszenia zasady minimalizacji danych i legalności oraz naruszono przepisy dotyczące realizacji prawa dostępu do danych i ich usunięcia. Zdaniem organu nadzorczego niewystarczające jest powołanie się przez pracodawcę na potrzebę dostępu do historycznych danych przechowywanych na skrzynce pocztowej z uwagi na istniejący interes w postaci zachowania ciągłości biznesowej.
W ostatnim czasie kwestią monitoringu poczty elektronicznej zajął się również norweski organ nadzorczy (Datatilsynet, dalej norweski organ nadzorczy). Sprawa zakończyła się wymierzeniem norweskiemu przedsiębiorstwu kary w wysokości 25 tys. EUR. Powodem wymierzenia kary było nielegalne przekierowywanie poczty elektronicznej pracownika na inną skrzynkę firmową celem zapewnienia wysokiej organizacji pracy. W ramach przeprowadzonego postępowania organ nadzorczy zidentyfikował szereg uchybień, z czego najpoważniejszym był brak procedur dotyczących stosowania monitoringu służbowej poczty elektronicznej, które wskazywałyby na konkretne podstawy prawne i zapewniały zgodność z Kodeksem Pracy. W ramach przeprowadzonego postępowania organ nadzorczy zidentyfikował szereg uchybień, z czego najpoważniejszym był brak procedur dotyczących stosowania monitoringu służbowej poczty elektronicznej, które wskazywałyby na konkretne podstawy prawne i zapewniały zgodność z Kodeksem Pracy.
Stanowisko krajowego organu ochrony danych osobowych
Jakie stanowisko prezentuje w tej sprawie rodzimy Urząd Ochrony Danych Osobowych? W zamieszczonym na stronie www Urzędu komunikacie przedstawiono wynikające z Kodeksu Pracy zasady monitoringu. W celu zapewnienia stosowania legalnego monitoringu zwrócono szczegółową uwagę na spełnienie przez pracodawcę obowiązków informacyjnych wobec pracowników. Zatrudnieni mają prawo poznać w jakim celu firma będzie stosować monitoring poczty elektronicznej i jaki jest jego zakres. Najlepiej, aby informacja została przygotowana w formie pisemnej. Informacje najlepiej umieścić w zbiorowym układzie pracy, w regulaminie pracy albo w formie obwieszczenia na tablicy ogłoszeń. Kontrola poczty nie może naruszać tajemnicy korespondencji oraz dóbr osobistych pracownika.
O czym jeszcze powinien pamiętać pracodawca?
Pracodawca powinien poinformować pracowników o wprowadzeniu monitoringu poczty elektronicznej, nie później niż dwa tygodnie przed jego uruchomieniem. Przy wprowadzeniu monitoringu pomocne może się okazać przeprowadzenie oceny skutków dla ochrony danych (DPIA) oraz środków zabezpieczających prywatność pracowników. Wystrzegamy się wprowadzania ukrytego monitoringu do kontroli pracowników lub wprowadzania go w firmach, w których nie ma takiej potrzeby np. w salonie fryziersko – kosmetycznym . Wszystko po to, aby nie narazić się na zarzuty związane z prowadzeniem w organizacji nielegalnego monitoringu lub naruszenia dóbr osobistych pracowników.
Więcej:
• Ordinanza ingiunezione nei confronti di Mapei S.p.A. – 2 luglio 2020 [9445180] https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9445180
• https://uodo.gov.pl/pl/138/1635
• https://www.datatilsynet.no/en/news/2021/fined-for-illegal-forwarding-of-e-mail