Monitoring pracowniczy w erze nowych technologii
Wraz z rozwojem nowych technologii pracodawcy coraz częściej sięgają po narzędzia umożliwiające kontrolę pracowników – w tym systemy monitorujące aktywność w sieci czy narzędzia AI analizujące służbową pocztę elektroniczną, komunikację wewnętrzną czy aktywność pracowników w systemach IT. Takie rozwiązania mogą wspierać organizację pracy i chronić interesy pracodawcy, jednak ich niewłaściwe stosowanie niesie ze sobą istotne ryzyka prawne.
Narzędzia AI jako monitoring w rozumieniu Kodeksu pracy
Korzystanie z narzędzi wykorzystujących nowe technologie, w tym systemów AI analizujących służbowy ruch sieciowy czy pocztę elektroniczną pracowników, może w pewnych przypadkach zostać uznane za monitoring pracowniczy, o którym mowa w Kodeksie pracy.
Będzie tak nawet wtedy, gdy kontrola nie polega na „klasycznym” podglądzie treści wiadomości, lecz na ich automatycznej analizie. Oznacza to konieczność spełnienia określonych warunków.
Kodeks pracy dopuszcza monitoring poczty elektronicznej oraz inne formy monitoringu wyłącznie wtedy, gdy jest to niezbędne do realizacji celów określonych w przepisach. W przypadku monitoringu poczty elektronicznej czy ruchu sieciowego są to:
- zapewnienie organizacji pracy umożliwiającej pełne wykorzystanie czasu pracy lub
- właściwe użytkowanie udostępnionych pracownikowi narzędzi pracy.
Jednocześnie nawet przy istnieniu uzasadnionego celu, monitoring nie może być stosowany dowolnie. Nie może on naruszać tajemnicy korespondencji ani innych dóbr osobistych pracowników, a jego wdrożenie wymaga spełnienia określonych wymogów formalnych.
Projektowanie narzędzi monitorujących
Powyższe oznacza, że już na etapie wyboru i wdrażania narzędzia kluczowe znaczenie ma sposób jego zaprojektowania. W szczególności system powinien być skonstruowany tak, aby:
- zakres monitoringu pracowniczego był ściśle powiązany z jasno określonym celem,
- nie prowadził do nadmiernej ingerencji w prywatność pracowników,
- minimalizował ryzyko dostępu do treści objętych tajemnicą korespondencji,
- zapewniał odpowiednie ograniczenia dostępu do danych (np. poprzez system uprawnień i rejestrowanie dostępu).
Obowiązki informacyjne wobec pracowników
Pracownicy muszą zostać poinformowani o monitoringu przed jego wdrożeniem. Jest to istotne nie tylko ze względu na wymogi prawne, ale również z perspektywy transparentności.
Cele, zakres oraz sposób stosowania monitoringu pracowniczego powinny zostać w jasny i zrozumiały sposób uregulowane w dokumentacji wewnętrznej pracodawcy (np. w układzie zbiorowym pracy, regulaminie pracy lub obwieszczeniu).
Dodatkowo przed dopuszczeniem pracownika do pracy, należy indywidualnie przekazać mu informację o monitoringu – w sposób bardziej skonkretyzowany niż w wewnętrznej dokumentacji. W zależności od formy monitoringu konieczne może być również jego odpowiednie oznaczenie lub techniczne sygnalizowanie (np. poprzez komunikaty systemowe).
Kluczowe jest, aby pracownicy mieli świadomość, że takie narzędzia są stosowane.
Monitoring pracowniczy a RODO – na co zwrócić uwagę?
Niezależnie od przepisów prawa pracy, kontrola pracowników musi być zgodna z przepisami dotyczącymi ochrony danych osobowych, w tym RODO. Poza stosowaniem ogólnych zasad przetwarzania danych (m.in. minimalizacja zakresu danych, ograniczenie celu oraz czasu przechowywania), w praktyce oznacza to kilka dodatkowych obowiązków po stronie pracodawcy.
Pracownicy powinni zostać poinformowani o wszystkich aspektach wymaganych przez art. 13 RODO, w tym m.in. o:
- celach przetwarzania,
- okresie przechowywania danych,
- przysługujących im prawach.
Istotne jest również prawidłowe określenie podstawy prawnej przetwarzania danych osobowych. W sektorze prywatnym najczęściej będzie to prawnie uzasadniony interes administratora. W praktyce oznacza to konieczność wykazania, że:
- interes pracodawcy nie narusza praw i wolności pracowników,
- cel monitoringu pracowniczego nie może zostać osiągnięty przy użyciu mniej inwazyjnych środków.
Weryfikacja tych kwestii odbywa się m.in. w ramach tzw. testu równowagi interesów.
Dodatkowo wdrożenie systemów monitorujących przepływ informacji (np. korzystanie z internetu) czy korzystanie ze sprzętu służbowego, w wielu przypadkach będzie się wiązało z koniecznością przeprowadzenia oceny skutków dla ochrony danych (DPIA), czyli pogłębionej oceny ryzyka. Będzie tak szczególnie wtedy, gdy mamy do czynienia z nowymi technologiami, w tym AI i systematycznym monitorowaniem pracowników.
Zakaz prywatnego korzystania z poczty służbowej
Dobrą praktyką jest wprowadzenie zakazu wykorzystywania służbowej poczty e-mail do celów prywatnych, choć w praktyce nie eliminuje to całkowicie ryzyka dostępu do korespondencji prywatnej. Jednocześnie nawet w razie naruszenia takiego zakazu narzędzia monitorujące – o ile to możliwe – nie powinny ujawniać treści prywatnej korespondencji, aby nie naruszać tajemnicy korespondencji.
Ryzyka prawne i reputacyjne monitoringu pracowniczego
Największe ryzyka prawne w przypadku naruszenia zasad dotyczących monitoringu pracowniczego pojawiają się na gruncie przepisów o ochronie danych osobowych. Istotne znaczenie mogą mieć również przepisy prawa cywilnego, zwłaszcza w kontekście naruszenia dóbr osobistych pracownika.
Ponadto, jeżeli narzędzie wykorzystuje AI i służy m.in. do oceny, monitorowania lub podejmowania decyzji wpływających na relację pracowniczą, może zostać uznane za system wysokiego ryzyka w rozumieniu AI Act.
Nie bez znaczenia pozostaje również aspekt reputacyjny, w tym employer brandingowy. Nadmierna lub nieprzejrzysta kontrola może osłabić zaufanie pracowników i negatywnie wpłynąć na wizerunek pracodawcy.
Warto zatem zweryfikować już teraz, czy stosowane lub planowane w organizacji rozwiązania – w szczególności te oparte na AI – spełniają wymogi prawa pracy i RODO (a w wybranych przypadkach także nowe obowiązki wynikające z AI Act).
Nasz zespół łączy wszelkie kompetencje, które są niezbędne do przeprowadzenia takiego audytu i wskazania ewentualnych działań naprawczych. Jeśli chcą Państwo uzyskać wsparcie w tym zakresie, zachęcamy do kontaktu.
