Monitoring służbowej poczty email jest jednym z narzędzi kontroli pracowników, ich efektywności, jakości pracy, ale również np. stosowania się przez nich do obowiązku zachowania poufności i tajemnicy. Jednym z obowiązków pracownika, o którym mowa w art. 100 §2 ust. 4 kodeksu pracy jest dbanie o dobro zakładu pracy, ochrona jego mienia oraz zachowanie w tajemnicy informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę.
Monitoring służbowej poczty email jest oczywiście dopuszczalny w zakładzie pracy, ale po spełnieniu kilku rygorystycznych warunków. Dodać należy od razu, że monitoring poczty email przez pracodawcę dotyczyć może jedynie służbowej poczty email – pracodawca absolutnie nie ma prawa kontrolować prywatnych skrzynek pocztowych pracowników, nawet, jeśli za jego zgodą korzystają oni z nich w godzinach pracy (pisaliśmy m.in. Grafik pracy) albo wykorzystują je w pracy na rzecz pracodawcy.
Kwestia monitoringu służbowej poczty email pracowników nabrała znaczenia, odkąd w związku z epidemią koronawirusa popularna stała się praca zdalna. W ramach tej pracy zdalnej pracownik pracuje w domu, co wiąże się bardzo często z korzystaniem ze służbowej poczty email. A w interesie pracodawcy jest kontrola tego, w jakim celu, w jakim zakresie ta służbowa poczta email jest przez pracownika wykorzystywana.
Monitoring służbowej poczty email a kodeks pracy
Monitoring służbowej poczty email w kodeksie pracy regulowany jest przepisem art. 22(3) i częściowo art. 22(2). Pierwszy z powołanych przepisów dopuszcza stosowanie przez pracodawców monitoringu służbowej poczty email, jeśli jest to niezbędne do zapewnienia organizacji pracy umożliwiającej pełne wykorzystanie czasu pracy oraz właściwego użytkowania udostępnionych pracownikowi narzędzi pracy.
Zwróć uwagę, co mówi przepis – monitoring służbowej poczty email jest dopuszczalny, jeśli jest konkretny cel – w tym wypadku m.in. zapewnienie organizacji pracy umożliwiającej pełne wykorzystanie czasu pracy (pisaliśmy m.in. Planowanie czasu pracy oraz tutaj: Systemy i rozkłady czasu pracy).
Chodzi tu o tzw. cel przetwarzania danych. Dane osobowe mogą być przetwarzane w konkretnym celu i w oparciu o konkretną podstawę przetwarzania. W tym wypadku podstawą przetwarzania danych osobowych jest uzasadniony interes pracodawcy jako administratora danych osobowych. Należy pamiętać, że służbowa poczta email, jeśli da się ją jednoznacznie powiązać z konkretnym pracownikiem, to dane osobowe.
Zgodnie z art. 4 ust. 1 RODO dane osobowe oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
Jeśli pracownik korzysta ze służbowej poczty email, a jest ona przypisana wyłącznie do niego, to z pewnością mamy tu do czynienia z danymi osobowymi. A skoro tak, to kontrola i monitoring służbowej poczty email jest operacją przetwarzania danych osobowych – a zatem musimy mieć cel i podstawę przetwarzania danych.
I taka podstawa przetwarzania danych osobowych wskazana została m.in. w art. 6 ust. 1 lit. f RODO. Stosownie do powołanego przepisu przetwarzanie danych osobowych jest zgodne z prawem, jeśli jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.
Pisaliśmy m.in. dane osobowe kandydatów do zatrudnienia oraz tutaj: Dane osobowe pracowników
A cel jest jasny i wskazany w przepisie art. 22(3) kodeksu pracy – zapewnienie pełnego wykorzystania czasu pracy oraz właściwego użytkowania udostępnionych pracownikowi narzędzi pracy. Pracodawca ma więc podstawę prawną, aby realizować monitoring służbowej poczty email pracowników, ma cel przetwarzania, przepis art. 22(3) określa również zakres przetwarzania.
Monitoring służbowej poczty email w praktyce – obowiązki pracodawcy
Aby pracodawca mógł stosować monitoring służbowej poczty email, musi dopełnić pewnych formalności. Przede wszystkim, jeśli pracodawca planuje wdrożenie monitoringu służbowej poczty email, musi określić cele, zakres i sposób stosowania tego monitoringu w układzie zbiorowym lub regulaminie pracy, a jeśli pracodawca nie ma obowiązku wdrożenia regulaminu pracy, to cele, zakres i sposób stosowania monitoringu służbowej poczty email pracodawca określa w obwieszczeniu.
O wdrożeniu monitoringu służbowej poczty email pracodawca ma obowiązek poinformować pracowników w sposób zwyczajowo przyjęty w zakładzie. Może zatem wysłać pracownikom email w tej sprawie, może wywiesić ogłoszenie na gazetce zakładowej itp. Ważne jest, aby pracownicy zostali o tym odpowiednio poinformowani. Z punktu widzenia przepisów RODO obowiązek informacyjny pracodawcy w związku ze stosowaniem monitoringu służbowej poczty email jest bardzo ważny.
Taka informacja dla pracowników o stosowaniu monitoringu służbowej poczty email może wyglądać następująco (przykładowy zapis w regulaminie pracy):
- Na podstawie art. 22(3) Kodeksu prowadzi się monitoring służbowej poczty elektronicznej.
- Celem monitoringu poczty elektronicznej jest zapewnienie organizacji pracy umożliwiającej pełne wykorzystanie czasu pracy oraz właściwego użytkowania udostępnionych narzędzi pracy.
- Zakresem monitoringu służbowej poczty elektronicznej objęte są służbowe wiadomości e-mail.
- Monitoring służbowej poczty elektronicznej będzie prowadzony przy wykorzystaniu narzędzi informatycznych umożliwiających wgląd do służbowej poczty elektronicznej w tym korzystania z funkcji administrującego służbowymi skrzynkami pocztowymi.
- Monitoring służbowej poczty elektronicznej będzie prowadzony wyłącznie przez upoważnione do tego osoby. Monitoring służbowej poczty elektronicznej polegać będzie na możliwości zapoznania się z treścią wiadomości bez ingerencji w jej treść.
- Osoby wyznaczone otrzymują upoważnienie (które może być wydane poprzez wpisanie na listę osób zajmujących się monitoringiem) do czynności związanych z monitoringiem i nadzorem nad urządzeniami.
- Monitoring poczty elektronicznej jest prowadzony w sposób nie naruszający tajemnicy korespondencji oraz innych dóbr osobistych pracownika, przy czym pracownik nie powinien korzystać z poczty służbowej w celach osobistych.
- Sprzęt komputerowy na którym jest prowadzony monitoring jest oznaczony w odpowiedni sposób przy wykorzystaniu oznaczeń fizycznych w tym graficznych lub informacji wyświetlanych na monitorze komputera.
- Zasady dotyczące monitoringu służbowej poczty elektronicznej stosuje się do innych udostępnionych pracownikowi zasobów informatycznych znajdujących się na urządzeniach należących do pracodawcy, który może obejmować zbieranie logów z aktywności pracownika w systemie informatycznym, zbieranie informacji o działaniach pracownika (wpisach, kasowaniu danych etc.) z oprogramowania udostępnionego pracownikowi, przeglądanych treści w czasie pracy. Zakresem monitoringu objęte są wszystkie udostępnione pracownikom zasoby informatyczne (urządzenia oraz zasoby informatyczne w tym programy komputerowe)
- Każdy nowy pracownik przed dopuszczeniem do pracy otrzymuje pisemną informację o monitoringu poczty elektronicznej oraz innych zasobów informatycznych.
Jeśli regulamin pracy zawiera takie zapisy, zatrudniając nowego pracownika odbiera się od niego oświadczenie o zapoznaniu się z regulaminem pracy, a więc również niejako oświadczenie o zapoznaniu się z zasadami stosowania monitoringu służbowej poczty email. Dla pracodawcy nie ma znaczenia, czy pracownik przeczytał te zapisy, czy się z nimi zgadza itd. Ważne jest, że pracodawca spełnił wobec pracownika swój obowiązek informacyjny.
Art. 22(2) §7 kodeksu pracy, dotyczący monitoringu wizyjnego, ale mający również zastosowanie do monitoringu służbowej poczty email nakłada na pracodawcę obowiązek informowania pracownika o wprowadzeniu monitoringu służbowej poczty email, a więc jeśli pracodawca zasady monitoringu służbowej poczty email określił w regulaminie pracy i zatrudniając pracownika zaznajamia go z regulaminem pracy, to jednocześnie zaznajamia go z zasadami stosowania monitoringu służbowej poczty email.
Stosowanie monitoringu służbowej poczty email – ograniczenia
Warto w tym miejscu zwrócić uwagę na przepis art. 22(3) §2 kodeksu pracy – stosownie do tego przepisu monitoring poczty elektronicznej nie może naruszać tajemnicy korespondencji oraz innych dóbr osobistych pracownika. Ani kodeks pracy ani RODO nie definiują dóbr osobistych pracownika – ich definicję znajdziemy w przepisie art. 23 kodeksu cywilnego. Dobrem osobistym jest m.in. tajemnica korespondencji.
I tu w praktyce mogą pojawić się pewne problemy – jak ma wyglądać monitoring służbowej poczty email? Czy chodzi to o to, że pracodawca może logować się na tę pocztę i sprawdzać wiadomości pracownika, czy np. sprawdzać jedynie logi systemowe, bez sprawdzania zawartości wiadomości przychodzących i wychodzących?
Przepisy kodeksu pracy i RODO nie regulują tego. W praktyce oznacza to, że pracodawca ma pełny dostęp do poczty służbowej email pracownika. A jeśli pozwala na korzystanie z niej również w celach prywatnych, to ma również wgląd do prywatnych wiadomości pracownika. I jak zatem ma się do tego tajemnica korespondencji?
W praktyce najlepiej po prostu zakazać wykorzystywania służbowych skrzynek email do wysyłania czy odbierania prywatnych wiadomości. Oczywiście, może się zdarzyć, że pracownik w ciągu dnia musi skorzystać z poczty email w celach prywatnych, ale niech robi to z wykorzystaniem swojego prywatnego adresu email. To zresztą również powinno być jakoś regulowane – pracodawca nie wie (bo ze względu na tajemnicę korespondencji nie może wiedzieć), w jakim celu pracownicy korzystają z prywatnej poczty w trakcie godzin pracy, ale ryzykuje tym, że pracownik zacznie klikać w podejrzane linki, podejrzane reklamy, pobierać podejrzane załączniki i uruchamiać je na służbowym sprzęcie.
W wielu zakładach pracy funkcjonują rozwiązania, w których do dyspozycji pracowników są komputery bez monitoringu, mogą oni z nich korzystać w celach prywatnych, ale nadal z pewnymi ograniczeniami. Zresztą – jeśli pracownik ma potrzebę skorzystania w godzinach pracy z prywatnej poczty email, może to zrobić z wykorzystaniem telefonu komórkowego. W dzisiejszych czasach to żaden problem.
Poczta email prywatna a sprzęt służbowy
To, o czym wspomnieliśmy powyżej, czyli wykorzystywanie prywatnej poczty email na komputerach służbowych, to w praktyce spory problem – nie chodzi tylko o brak kontroli nad tym, co pracownik otrzymuje albo wysyła, w co klika itd. Jeśli komputer służbowy wyposażony jest w oprogramowanie do kontroli służbowej poczty email, a pracownik korzysta z niego (i ze służbowej poczty) również w celach prywatnych, to teoretycznie pracodawca albo osoba odpowiedzialna za monitoring służbowej poczty email mają zakaz otwierania wiadomości prywatnych pracownika.
Tyle, że czasem może być problem z odróżnieniem, która wiadomość przychodząca na służbową skrzynkę jest wiadomością służbową, a która prywatną. A problem jest poważny – art. 267 §1 kodeksu karnego stanowi, iż kto bez uprawnienia uzyskuje dostęp do informacji dla niego nieprzeznaczonej otwierając zamknięte pismo podlega grzywnie, karze ograniczenia wolności lub pozbawienia wolności do lat 2. A skoro tak, to pracodawca ryzykuje odpowiedzialnością karną za to, że podgląda prywatne wiadomości pracownika.
Najlepiej zatem po prostu zakazać wykorzystywania służbowych skrzynek email do załatwiania spraw prywatnych. Z drugiej strony – jeśli umożliwia się pracownikom sprawdzanie prywatnej poczty w ciągu dnia, to nie może to pracownikom zajmować zbyt wiele czasu. Pracownik musi w pierwszej kolejności mieć na względzie to, że w czasie pracy musi pozostawać do dyspozycji pracodawcy i wykonywać pracę, a nie zajmować się prywatą.
Warto dodać, że jeśli w ciągu dnia roboczego sprawy prywatne zajmują pracownikowi zbyt dużo czasu, pracodawca może na pracownika nałożyć karę porządkową upomnienia czy nagany (pisaliśmy m.in. tutaj: Upomnienie i nagana dla pracownika oraz tutaj: Zwolnienie pracownika za romans w pracy).
Komputery, na których poczta służbowa email jest monitorowana, powinny być odpowiednio oznakowane. Wspomnieliśmy już wcześniej, że o monitoringu służbowej poczty email pracownicy muszą wiedzieć.
Interesuje Cię ta tematyka? Zapraszamy do udziału w naszym szkoleniu online RODO w kadrach i rekrutacji – omawiamy w nim zagadnienia ochrony danych osobowych w zatrudnianiu pracowników, w tym zasady stosowania monitoringu wizyjnego, monitoringu pojazdów służbowych oraz monitoringu służbowej poczty email w zakładach pracy.