Pracodawca bardzo często ma dostęp do różnych informacji na temat życia prywatnego pracownika. Problem polega na tym, że często nie są to dane zbierane celowo, dlatego tak ważne jest ich prawidłowe selekcjonowanie, anonimizowanie i przetwarzanie. Warto przy tym korzystać z najnowszego orzecznictwa.

W wielu sytuacjach pracodawca nie jest zainteresowany informacjami o życiu prywatnym pracowników, a często wręcz nie wie, że takie dane są przez niego zbierane. Przetwarzanie danych osobowych pracownika dotyczących jego życia prywatnego stanowi niejako efekt uboczny korzystania z niektórych narzędzi udostępnionych przez pracodawcę i monitorowania pełnego wykorzystania czasu pracy oraz właściwego użytkowania udostępnionych mu narzędzi pracy. Wśród takich informacji znajdują się dane o lokalizacji pracownika, o czasie wolnym od pracy, nawet w trakcie urlopu.

Prezes UODO w swoim poradniku Ochrona danych osobowych w miejscu pracy. Poradnik dla pracodawców (tinyurl.com/299a2eap [dostęp: 12.09.2023]) wskazał m.in., że:

Niejednokrotnie w trakcie monitorowania przy pomocy urządzeń lokalizujących pojazd pracodawca może uzyskać także dane o tym, jakim stylem jazdy porusza się dany kierowca, gdzie się zatrzymuje, gdzie tankuje, gdzie je. Istnieje zatem ryzyko, że za pomocą monitorowania lokalizującego pracodawca może uzyskać więcej informacji niż tego potrzebuje. Dodatkowy problem pojawia się w sytuacji, gdy pojazd służbowy wykorzystywany jest także w celach prywatnych. W takiej sytuacji zbierając dane o pojeździe jednocześ­nie pracodawca pozyskuje informacje o pracowniku np. gdzie obecnie przebywa. Pracodawca nie jest uprawniony do pozyskiwania takich danych, chyba że mamy do czynienia z sytuacją wyjątkową np. z kradzieżą samochodu lub koniecznością ustalenia odpowiedzialności pracownika za uszkodzenie pojazdu.

Nie wyczerpuje to jednak możliwości pracodawcy w zakresie zbierania informacji na temat lokalizacji pracownika. W zależności od wykorzystywanych narzędzi pracy takie dane mogą pochodzić ze wszelkiego rodzaju kart płatniczych czy flotowych udostępnionych przez pracodawcę, a także z danych dotyczących logowań urządzeń służbowych, czasem historii połączeń czy transferu danych. Co więcej, zakres takich danych może się poszerzyć w związku ze stosowaniem narzędzi do prowadzenia wideokonferencji, a także w przypadku stosowania pracy zdalnej i sprawowania kontroli nad sposobem jej wykonywania. Osobnym źródłem informacji mogą być dokumenty powstałe w przypadku kradzieży narzędzi pracy opisujące jej okoliczności oraz pochodzące od ubezpieczyciela w przypadku objęcia narzędzi pracy ubezpieczeniem firmowym.

Orzeczenie WSA

WSA w Warszawie w orzeczeniu z 22 lutego 2022 r. (II SA/Wa 643/21) zajął się zagadnieniem dopuszczalności wykorzystania danych uzyskanych z monitoringu przy użyciu urządzeń GPS jako dowodu przed sądem pracy, jeśli wynika z nich, że pracownik dopuścił się rażących uchybień. W zaskarżonej decyzji Prezes UODO nakazał usunięcie danych osobowych uczestnika w zakresie danych o lokalizacji, pozyskanych za pośrednictwem monitoringu GPS stosowanego w zakładzie pracy bez wiedzy i zgody pracownika. Dane pochodzące z monitoringu GPS zostały wykorzystane przez pracodawcę w sprawie niezgodnego z prawem rozwiązania z pracownikiem stosunku pracy. Podstawą wypowiedzenia umowy o pracę było stwierdzenie rażącego nadużycia zaufania pracodawcy i obowiązków pracowniczych. Uczestnik w raportach wykazywał dane niezgodne ze wskazaniami monitoringu GPS. Dane te pochodziły „z raportów Uczestnika, dotyczących odbytych przez niego podróży służbowych oraz z urządzeń GPS”. W toku postępowania Prezes UODO (tinyurl.com/4ckf4zmz [dostęp: 12.09.2023]) ustalił, że:

Korzystanie z monitoringu miało miejsce jedynie w przypadkach uzasadnionych wątpliwości co do rzetelności danych podawanych przez pracownika w składanych sprawozdaniach z odbytych wyjazdów służbowych. (…) W przypadku pracowników zatrudnionych poza siedzibą firmy jedyną praktycznie dostępną i rzetelną formą nadzoru jest monitoring, polegający na ustalaniu lokalizacji pracownika na podstawie logowań aparatu telefonicznego. Forma ta jest wykorzystywana nie permanentnie, a tylko w razie wątpliwości dotyczących rzetelności pracownika. Monitoring miał miejsce wyłącznie w dni robocze i w godzinach pracy. Pierwszy „namiar” odbywał się o godz. 8, kolejne co 2 godziny, a ostatni o 16, zgodnie z zapisem § 19 Regulaminu pracy. Monitoring był wykorzystywany nie permanentnie, lecz tylko w razie wątpliwości dotyczących rzetelności pracownika. Urządzenie GPS nie jest montowane przez Spółkę w pojeździe; informacja o lokalizacji pracownika jest uzyskiwana na podstawie logowań aparatu telefonicznego, dokonywanych w dniach i godzinach pracy.

Co dość istotne, administrator nie posiadał żadnego dokumentu, który określał zasady stosowania monitoringu. Pracowników uświadamiano i przypominano to podczas szkoleń, że w razie konieczności możliwe jest zweryfikowanie czasu i prawidłowości wykonywanej przez nich pracy oraz podawanych informacji, zwłaszcza związanej z odbywanymi wyjazdami służbowymi. Sam fakt takiej motywacji dowodzi tego, że spółka była zainteresowana tym, aby pracownicy wiedzieli o monitoringu. W kontekście tego zupełnie nieuzasadniona jest sugestia, że pracodawca „namierzał” pracowników podstępnie i w niecnym celu.

Natomiast skarżący oświadczył, że nie był informowany o fakcie, celach, zakresie i sposobie stosowania monitoringu. Jak wskazał Prezes UODO:

Gdyby nawet przyjąć, że Uczestnik był informowany o stosowanym w Spółce monitoringu podczas szkoleń prowadzonych przez kierownika zakładu pracy, to nadal nie zapewniło to Uczestnikowi stałego dostępu do tych informacji, naruszając przy tym zasadę przejrzystości przetwarzania danych osobowych. Każda forma monitoringu pracownika ingeruje w jego prywatność, w związku z tym, to również w interesie pracodawcy jest szczegółowo poinformować o tym fakcie w sposób jasny, przejrzysty i nie budzący wątpliwości pracownika, tak aby w przyszłości nie narazić się na zarzut naruszenia jego dóbr osobistych. Takie podejście znajduje także potwierdzenie w dotychczasowym orzecznictwie sądów administracyjnych, co istotne, obowiązywało jeszcze przed wprowadzeniem do K.p. przepisów dotyczących monitorowania pracowników. Prezes UODO powołał się na wyrok NSA z 13 lutego 2014 r. sygn. akt I OSK 2436/12.

Oprócz zarzutów proceduralnych dotyczących naruszenia przepisów kpa, skarżący zarzucił decyzji Prezesa UODO także naruszenie art. 6 ust. 1 lit. a i b rodo – przez nieuzasadnione przyjęcie, że spółka przetwarzała dane osobowe (dane o lokalizacji) w sposób niezgodny z prawem. Co dość ciekawe, zwłaszcza biorąc pod uwagę obowiązujące regulacje prawne dotyczące stosowania monitoringu w zakresie rozmaitych obowiązków informacyjnych ciążących na pracodawcy, w uzasadnieniu skargi wskazano m.in. na przesłanki wynikające z doświadczenia życiowego i faktów powszechnie znanych, takich jak:

• istnienie monitoringu u administratora już od 2010 r.;
• jawność informacji o jego stosowaniu wynikającą z jego prewencyjnego charakteru;
• prostą formę monitoringu;
• długotrwałość zatrudnienia uczestnika (4,5 roku), przez który to okres działał monitoring GPS za pośrednictwem karty SIM w telefonie komórkowym);
• brak zmian w zakresie stosowania monitoringu w związku z rozpoczęciem stosowania rodo.

Opisywana sprawa jest przykładem, gdy przy zbyt pobieżnej argumentacji ochrona dobra może z racjonalnej przerodzić się w swoje przeciwieństwo z powodu ochrony nieuczciwego postępowania.

WSA w Warszawie, rozstrzygając sprawę, uwzględnił skargę, choć nie z powodów w niej wskazanych. Zaskarżona decyzja naruszała przepis prawa materialnego, którego nie powołano w skardze – art. 17 ust. 3 lit. e rodo – przez brak wzięcia go pod rozwagę w stanie faktycznym sprawy. Sąd zauważył, że dowody w postaci zestawienia danych pochodzących z raportów uczestnika dotyczących odbytych przez niego podróży służbowych oraz z urządzeń GPS powinny zostać ocenione przez pryzmat art. 17 ust. 3 lit. e rodo:

gdyż ww. przepis może stanowić przesłankę negatywną do obowiązku usunięcia danych osobowych Uczestnika, czyli do nakazania Spółce usunięcia danych osobowych Uczestnika w zakresie danych o lokalizacji, pozyskanych za pośrednictwem monitoringu GPS. Skoro zatem Prezes UODO nie uwzględnił w zaskarżonej decyzji ww. przepisu art. 17 ust. 3 lit. e) rodo i nie rozważył, w jakim zakresie przetwarzanie ww. danych osobowych Uczestnika było niezbędne do ustalenia, dochodzenia lub obrony roszczeń Spółki, w związku z toczącym się przed Sądem Rejonowym dla (…) w (…) sporem Skarżącej z Uczestnikiem, zaskarżoną decyzję należało usunąć z obrotu prawnego.

Sąd potwierdził, że legalny jest tylko taki monitoring, który został wprowadzony zgodnie z zachowaniem procedury przewidzianej w art. 22² § 6–10 kp i art. 22³ § 4 kp. Elementem tej procedury jest obowiązek poinformowania o wprowadzeniu monitoringu, celach, zakresie i sposobie monitorowania, a wymóg transparentności oznacza, że pracownicy powinni mieć świadomość, iż są poddawani monitoringowi. Pracodawca powinien zatem szczegółowo określić zasady monitoringu i zapoznać z nimi pracowników, którzy powinni potwierdzić fakt zapoznania się z nimi.

Standardy w zakresie monitorowania pracowników

Wnioski płynące z tego (nieprawomocnego) orzeczenia są dość kuriozalne dla praktyki. Monitoring niespełniający wymagań wynikających z przepisów kp jest nielegalny, ale pochodzące z niego dane, mimo że pozyskane w sposób niezgodny z prawem, mogą być wykorzystywane do ustalenia, dochodzenia lub obrony roszczeń, co wyklucza skuteczność żądania ich usunięcia na podstawie art. 17 ust. 1 rodo. WSA w Warszawie potwierdza jednak konieczność legalizacji monitoringu z uwzględnieniem wymagań stawianych przez przepisy kp. Nie ma przy tym znaczenia wcześniejsza praktyka pracodawcy, czy powszechna (choć nieudokumentowana) o niej wiedza wśród pracowników. Znaczenie ma spełnienie obowiązków zdefiniowanych w przepisach kp, zwłaszcza w zakresie informacji przekazywanych pracownikom. Co dość istotne, wpisuje się to w długoletnią praktykę orzeczniczą sądów różnego szczebla i z różnych krajów dotyczących sformalizowania stosowania monitoringu. W tym miejscu warto przypomnieć:

• Orzeczenie Europejskiego Trybunału Praw Człowieka z 3 kwietnia 2007 r. w sprawie Lynette Copland przeciwko Wielkiej Brytanii (62617/00) – w której skarżąca nie została poinformowana, że jej rozmowy, e-maile oraz wykorzystanie internetu mogą być monitorowane. W tej sprawie sformułowano pewne standardy dotyczące stosowania monitoringu w stosunku do pracownika: działanie na podstawie prawa, świadomość pracownika, że takie działania są podejmowane przez pracodawcę, cykliczność, planowość i powtarzalność takich działań – niedopuszczalność ich stosowania w celu szukania „haków” na pracownika.
• Orzeczenie Europejskiego Trybunału Praw Człowieka z 5 września 2017 r. w sprawie Bărbulescu przeciwko Rumunii (61496/08) – w której pracownik nie został poinformowany o rzeczywistym zakresie kontroli prowadzonej przez pracodawcę. Pracownik zobowiązał się co prawda do wykorzystywania sprzętu wyłącznie w sprawach służbowych, ale nie został poinformowany, że pracodawca będzie kontrolował sposób realizacji tego zobowiązania.
• Wyrok WSA w Warszawie z 6 czerwca 2012 r. (II SA/Wa 453/12) – w którym sąd uznał, że oprogramowanie zbierające informacje o połączeniach między siecią wewnętrzną spółki a siecią publiczną zastosowane w ramach monitoringu (kontroli) w istocie stanowi też monitoring pracownika w miejscu pracy. Taki monitoring musi spełniać wymogi zgodności z prawem, usprawiedliwionego celu, proporcjonalności, transparentności oraz uwzględnienia przepisów o ochronie danych osobowych. Wymóg transparentności oznacza, że pracownicy powinni mieć świadomość, iż są poddawani monitoringowi.
• Wyrok NSA z 13 lutego 2014 r. (I OSK 2436/12) – w którym wskazano, że niepoinformowanie pracownika o istnieniu funkcjonalności systemu polegającej na gromadzeniu informacji pomiędzy siecią wewnętrzną a internetem powoduje, że skarżący nie ma świadomości, że jest poddawany monitoringowi. Przy przyjęciu, że monitoring systemu informatycznego jest niezbędny dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez pracodawcę jako administratora danych, art. 23 ust. 1 pkt 5 uodo nie może być przesłanką legalnego przetwarzania danych osobowych.
• Wyrok Europejskiego Trybunału Praw Człowieka z 13 grudnia 2022 r. wydany w sprawie Florindo de Almeida Vasconcelos Gramaxo przeciwko Portugalii (26968/16) – który dotyczył instalacji systemu GPS w samochodzie służbowym. System umożliwiał śledzenie ruchu pojazdu w czasie rzeczywistym w sposób ciągły. System zbierał dodatkowe informacje, takie jak czas, przez jaki pojazd był używany, przejechane odległości, czas, w którym pojazd ruszył i zatrzymał się, oraz prędkość, z jaką pojazd się poruszał. Pracownicy nie mogli dezaktywować systemu, który działał przez całą dobę, co stanowiło ingerencję w życie prywatne pracownika. Pracownik został jednak o tym należycie poinformowany. Podpisał stosowny dokument, z którego jasno wynikało, że celem systemu jest monitorowanie odległości pokonywanych w ramach czynności wykonywanych przez pracowników. Trybunał uznał, że sąd w sposób prawidłowy wyważył prawo skarżącego do poszanowania jego życia prywatnego i prawo jego pracodawcy do zapewnienia sprawnego funkcjonowania spółki, biorąc pod uwagę uzasadniony cel realizowany przez spółkę, a mianowicie prawo do monitorowania jej wydatków, a wykorzystanie w postępowaniu dowodowym danych geolokalizacyjnych dotyczących odległości pokonanych przez skarżącego w jego pojeździe służbowym nie podważyło rzetelności postępowania w niniejszej sprawie.

Obowiązujące przepisy

Podstawę prawną dla stosowania przez pracodawcę form monitorowania pracownika innych niż monitoring wizyjny stanowi art. 22³ kp, który co prawda w § 1 wskazuje na monitoring poczty elektronicznej sprawowany w celu zapewnienia organizacji pracy umożliwiającej pełne wykorzystanie czasu pracy oraz właściwego użytkowania udostępnionych pracownikowi narzędzi pracy, ale w § 4 rozszerza zakres stosowania przepisu na inne formy monitoringu, jeśli ich zastosowanie jest konieczne do realizacji celów określonych w § 1.

Taki monitoring nie może naruszać tajemnicy korespondencji oraz innych dóbr osobistych pracownika, a jednocześnie powinien spełniać szereg wymagań formalnych określonych w art. 22² § 6–10 kp.

Monitoring pracownika powinien stanowić odrębną czynność przetwarzania danych do uwzględnienia w rejestrze czynności przetwarzania. Prezes UODO w cytowanym poradniku wskazuje, że:

ważne, aby cel przetwarzania był rzeczywiście zgodny z danymi, które przetwarzamy i wykorzystujemy. Nie możemy bowiem wykorzystywać danych przy użyciu systemu GPS zamontowanego w użytkowanej przez nas flocie pojazdów w celu ochrony mienia, gdy tymczasem w regulaminie pracy pracodawca określił cel inny np. organizacja czasu pracy poprzez wytyczanie jak najkrótszych i najszybszych tras potrzebnych do zrealizowania transportu. Pracodawca musi pamiętać o tym, że cel wpisany w dokumentacji musi być tożsamy z celem wykorzystywania urządzenia i danych w ten sposób otrzymywanych. Nie zmienia to faktu, że cele, zakres oraz sposób zastosowania również takiej formy monitoringu muszą być ustalone w układzie zbiorowym pracy lub w regulaminie pracy albo w obwieszczeniu, jeżeli pracodawca nie jest objęty układem zbiorowym pracy lub nie jest obowiązany do ustalenia regulaminu pracy.

W celu zapewnienia zgodności z przepisami rodo konieczne jest także określenie okresu przechowywania danych pochodzących z monitoringu lub kryteriów jego ustalania. Należy ocenić rzeczywistą potrzebę dostępu do danych. Żaden przepis nie zawiera precyzyjnej regulacji w tym zakresie. Do innych form monitoringu niż monitoring wizyjny nie stosuje się art. 22² § 3 kp, który określa maksymalnie 3-miesięczny okres przechowywania danych pochodzących z monitoringu wizyjnego. W związku z tym to administrator musi określić okres przechowywania danych, uwzględniając swoje dotychczasowe doświadczenia w zakresie dostępu do danych. Warto przy tym wziąć pod uwagę takie elementy, jak pojemność rejestratora w urządzeniu i okresy przedawnienia ewentualnych roszczeń związanych z wykorzystaniem danych pochodzących z monitoringu.

Należy określić odbiorców danych osobowych, czyli osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego, czy jest stroną trzecią. Odbiorcą danych nie jest organ publiczny, który może otrzymywać dane osobowe w ramach konkretnego postępowania zgodnie z prawem Unii lub prawem państwa członkowskiego. W celu realizacji tego obowiązku należy rozważyć, kto ma dostęp do danych z monitoringu. Może to dodatkowo skutkować koniecznością zawarcia umów powierzenia przetwarzania danych osobowych w rozumieniu art. 28 rodo.

Także w przypadku innych rozwiązań geolokalizacyjnych, np. w postaci map Google, jeśli pracodawca zamierza regularnie kontrolować pracownika w celu zapewnienia organizacji pracy umożliwiającej pełne wykorzystanie czasu pracy oraz właściwe użytkowanie udostępnionych pracownikowi narzędzi pracy, powinien zastosować się do powyższych wskazań płynących z art. 22³ § 4 kp.

Warto rozważyć, czy dokumentacja wewnątrzorganizacyjna w postaci układu zbiorowego pracy lub regulaminu pracy albo obwieszczenia nie powinna określać dopuszczalności wykorzystania samochodu wyłącznie w celach służbowych albo także w celach prywatnych eliminacji ryzyka naruszenia dóbr osobistych pracownika. Po raz kolejny warto przywołać stanowisko Prezesa UODO: „rozwiązaniem jest precyzyjne określenie, że samochód służbowy używany jest tylko do celów służbowych”.

Podstawa to rozliczalność

Każdą operację przetwarzania danych osobowych należy przeprowadzić z uwzględnieniem zasady rozliczalności. Ciężar dowodu obciąża pracodawcę. W przypadku przetwarzania danych o lokalizacji pracownika zasada rozliczalności polega także na konieczności wykazania, że celu w postaci sprawowania kontroli z wykorzystaniem narzędzi pracy lub czasu pracy nie można było osiągnąć przy użyciu środków mniej inwazyjnych niż urządzenia zbierające informacje o lokalizacji pracownika. Zwracają na to uwagę organy nadzorcze w swoich decyzjach.

Autor

Tomasz Cygan

Autor jest adwokatem, inspektorem ochrony danych i wykładowcą. Posiada certyfikat Certified in Cybersecurity oraz Certified Information System Security Professional.