Na wstępnie warto przyjrzeć się temu, jak zagadnienie monitoringu było rozpatrywane tylko i wyłączenie na gruncie samych przepisów RODO (Ogólne rozporządzenie o ochronie danych (2016/679) z 27. kwietnia 2016 roku). W kontekście przetwarzania nagrań z monitoringu, jako procesu przetwarzania danych osobowych, za podstawę upoważniającą administratora do zainstalowania telewizji przemysłowej identyfikowano art. 6 ust. 1 lit. f RODO, tj. przetwarzanie danych, które jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora danych.
Kłopotliwy był jednak dalszy zapis cytowanego przepisu, w którym mowa jest o tym, że przetwarzanie takie jest dozwolone, z wyjątkiem sytuacji, w której nadrzędny charakter wobec interesów (np. pracodawcy) mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą (np. pracownika). Skoncentrujmy się zatem na moment na przytoczonej już relacji pracodawca – pracownik.
Dotąd wskazówką interpretacyjną był 47 Motyw preambuły RODO. W przedmiotowym motywie istotnymi dla pracodawców informacjami są przede wszystkim zapisy, z których dowiadujemy się, że:
- prawnie uzasadniony interes administratora danych może istnieć na przykład w przypadkach, w których pojawia się istotny i odpowiedni rodzaj powiązania między osobą, której dane dotyczą, a administratorem (przykład: relacja pracownik – jako osoba, której dane dotyczą, a pracodawca – jako administrator),
- interesy i prawa podstawowe osoby, której dane dotyczą, mogą być nadrzędne wobec interesu administratora danych, w szczególności w przypadkach, gdy dane osobowe są przetwarzane w sytuacji, w której osoby, których dane dotyczą, nie mają rozsądnych przesłanek, by spodziewać się dalszego przetwarzania (warto wskazać, że popularna forma zabezpieczenia mienia pracodawcy jaką jest monitoring wizyjny spełnia wymóg nieprecyzyjnej rozsądnej przesłanki),
- prawnie uzasadnionym interesem administratora, którego sprawa dotyczy, jest również przetwarzanie danych osobowych bezwzględnie niezbędne do zapobiegania oszustwom (co potwierdza, że zabezpieczenie mienia oraz statutowych celów realizowanych przez daną organizację jest uzasadnioną przesłanką do korzystania z CCTV).
Wspomniany brak precyzyjnych przepisów pozwalał przypuszczać, że z chwilą wejścia w życie przepisów RODO kłopotliwym do realizacji będzie obowiązek wynikający z art. 13 RODO. W związku z istnieniem monitoringu wizyjnego na terenie danego przedsiębiorstwa, konieczne jest podanie informacji, o których mowa w przytaczanym już artykule 13, osobie, której dane dotyczą. Zakres informacji z art. 13 jednoznacznie wskazuje, że samo umieszczenie tabliczki informacyjnej z symbolem kamery, czy też informacją: obiekt/ teren monitorowany, należało uznawać za niewystarczające.
Ważny fragment
Podkreślić należy, że pracodawca, stosując formy monitoringu inne, niż telewizja przemysłowa, także będzie musiał spełnić obowiązki informacyjne wobec pracownika, we właściwych terminach, o których mowa w art. 222 Kodeksu pracy.
Nowelizacja Kodeksu Pracy a RODO
Ustawodawca unijny w art. 88 RODO, przewidział jednak możliwość, zgodnie z którą kraje członkowskie mogą zawrzeć w swoich przepisach bardziej szczegółowe regulacje odnośnie przetwarzania danych osobowych w kontekście zatrudnienia. Polscy pracodawcy musieli czekać na krajowe regulacje niemal do ostatniej chwili. Nowa ustawa o ochronie danych osobowych z dnia 10. maja 2018 roku (data ogłoszenia w Dzienniku Ustaw 24. maja 2018) doprecyzowała to zagadnienie, aczkolwiek chcąc wdrożyć te regulacje możemy natknąć się na problemy natury praktycznej. Mowa tu o zapisach z art. 111 przedmiotowej ustawy, które dodają długo wyczekiwane modyfikacje do Kodeksu pracy. Zgodnie z powyższym najistotniejsze dla pracodawcy informacje to:
- potwierdzenie możliwości stosowania telewizji przemysłowej, jeżeli jest to niezbędne do zapewnienia bezpieczeństwa pracowników lub ochrony mienia, a także kontroli produkcji, czy też zachowania w tajemnicy informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę (co jest potwierdzeniem uznania art. 6 ust. 1 lit f. RODO za podstawę prawną analizowanego procesu przetwarzania),
- wykazanie, że pomieszczenia sanitarne, socjalne (np. szatnie, stołówki oraz np. palarnie), a także pomieszczenia udzielane ew. zakładowej organizacji związkowej nie powinny być objęte nadzorem kamer (co stanowi odniesienie do poruszonego w RODO zagadnienia dotyczącego podstawowych praw i wolności osób, których dane dotyczą),
- przetwarzanie i archiwizowanie nagrań powinno odbywać się w maksymalnym okresie 3 miesięcy (wyjątkiem jest sytuacja, w której nagranie stanowi dowód w sprawie; wówczas okres ten ulegnie wydłużeniu) oraz w celach, w jakich nagrania zostały zebrane. Oznacza to, że ważne będzie poprawne określenie celów przetwarzania podczas realizacji obowiązku, o którym mowa w art. 13 RODO, tj. np. zabezpieczenie mienia pracodawcy (przykładowo, gdy pracownik dopuszcza się kradzieży) lub zapewnienie bezpieczeństwa pracowników (np. gdy pracownik ulega wypadkowi przy pracy, nagranie jest dowodem w sprawie, a jego analiza i wyciągnięcie wniosków pozwoli wykluczyć ew. podobne zdarzenia w przyszłości),
- nałożenie na pracodawcę konkretnych obowiązków, takich jak uregulowanie kwestii dotyczących nadzoru telewizją przemysłową, w regulaminie pracy, w układzie zbiorowym, czy też w specjalnym obwieszczeniu (treść takich ustaleń z całą pewności musi spełnić wymogi, o których mowa już w przytaczanym art. 13 RODO); ponadto pracodawca musi poinformować pracowników o stosowanym monitoringu nie później, niż 2 tygodnie przed jego uruchomieniem,
- umieszczenie oznaczeń pomieszczeń i obszaru monitorowanego w sposób widoczny i czytelny, za pomocą odpowiednich znaków lub ogłoszeń dźwiękowych, nie później niż jeden dzień przed jego uruchomieniem,
Analizując ostatni z przytoczonych podpunktów warto zastanowić się nad doprecyzowaniem, które zostało sformułowane przez ustawodawcę. Otóż wskazano, że umieszczenie oznaczeń, znaków lub stosowanie ogłoszeń dźwiękowych nie narusza przepisów wynikających m.in. z art. 13 RODO. Potwierdza to, że dotychczasowe tabliczki zawierające informacje o monitoringu (bez wszystkich elementów składowych, o których mowa w art. 13 RODO), będą jednak wystarczające, o ile pracodawca przekaże całość przedmiotowych informacji w formie obwieszczenia, w porozumieniu zbiorowym lub w regulaminie pracy.
Sytuacja może być bardziej problematyczna gdy pracodawca nie zarządza monitoringiem. Mowa tutaj przede wszystkim o sytuacjach, w których wynajmujemy przestrzeń biurową, czy też np. magazynową od innego podmiotu, który jest administratorem systemu monitoringu wizyjnego. W trakcie realizacji procesów biznesowych mogą pojawić się problematyczne kwestie, m.in.: kto powinien informować pracowników o istnieniu telewizji przemysłowej. Podstawą do rozstrzygnięcia tej trudności będą indywidualne ustalenia pomiędzy administratorami, ale i tak ostateczna informacja dla pracownika będzie musiała trafić z dwóch źródeł, tj. odrębnie od pracodawcy i odrębnie od administratora obiektu, który nadzoruje CCTV.
Sprawdź Outsourcing funkcji inspektora ochrony danych osobowych (outsourcing IOD) Grant Thornton
Monitoring to nie tylko kamery
Kolejnym ważnym aspektem jest odniesienie się przez krajowego ustawodawcę do monitoringu poczty elektronicznej (o ile takie działanie nie narusza tajemnicy korespondencji i dóbr osobistych pracownika) oraz innych form monitoringu stosowanego przez pracodawcę, jeżeli takie formy monitorowania są niezbędne do zapewnienia organizacji pracy umożliwiającej pełne wykorzystanie czasu pracy oraz właściwego użytkowania udostępnionych pracownikowi narzędzi pracy. Podkreślić należy, że pracodawca, stosując formy monitoringu inne, niż telewizja przemysłowa, także będzie musiał spełnić obowiązki informacyjne wobec pracownika, we właściwych terminach, o których mowa w art. 222 Kodeksu pracy.
Zidentyfikowanie innych form monitorowania pracowników niż monitoring wizyjny może nie być już takie proste. Pracodawcy mogę nie być świadomi faktycznie prowadzonych w tym zakresie działań. Przydatną wskazówką identyfikacyjną może być m.in. ogólnodostępna Opinia 2/2017 na temat przetwarzania danych w miejscu pracy, którą Grupa Robocza art. 29 przyjęła w dniu 08.06.2017 r. Przykładem takiej kontroli pracownika może być np.: stosowanie oprogramowania umożliwiającego kontrolę urządzeń końcowych (tj. monitorowanie aktywności pracowników w trakcie pracy przy komputerach służbowych), korzystanie z aplikacji dostarczanych jako usługa w chmurze, która w praktyce umożliwia bardzo szczegółowe rejestrowanie działań pracowników, oprogramowanie służące zabezpieczeniu i zarządzaniu urządzeniami mobilnymi, a w niektórych przypadkach także oprogramowanie służące monitorowaniu użycia samochodów służbowych, czy też zarządzaniu flotą. Ponadto sporym wyzwaniem może być wprowadzenie odpowiednich zasad i procedur w zakresie pracy na własnych urządzeniach pracownika. Przytaczana Opinia 2/2017 wskazuje, że wykorzystywane w takim systemie pracy urządzania końcowe należące do pracownika powinny mieć możliwość wyłączenia spod nadzoru, ponieważ wykorzystywane są także do celów prywatnych i istnieje prawdopodobieństwo, że monitorowaniu będą podlegały prywatne czynności pracownika, czy też dotyczące jego osoby informacje prywatne.
Podsumowując, jeżeli pracodawca decyduje się na zastosowanie ww. środków, to w pierwszej kolejności powinien zastanowić się czy działanie takie nie jest nadmierne, uzasadnione w stosunku do celów oraz czy nie narusza podstawowych praw i wolności pracownika.
Projektujesz? Upewnij się, że robisz to dobrze
Na zakończenie warto jeszcze wspomnieć o tym, że powyższe regulacje należy uwzględnić (między innymi) w fazie projektowania nowych rozwiązań i procedur, czy też w analizie procesów przetwarzania danych osobowych w ocenie skutków dla ochrony danych.
Wprowadzona modyfikacja Kodeksu Pracy w Ustawie o Ochronie danych osobowych, mogła spowodować, że w wielu organizacjach nie realizowano poprawnie obowiązku prawnego, o którym mowa w art. 222 i 223 Kodeksu pracy, a co za tym idzie stosowanie różnych form monitoringu może okazać się nielegalne.
AUTOR: Kacper Rączkowiak, Specjalista ds. ochrony danych osobowych