Monitoring w miejscu pracy- obowiązki i ryzyka obciążające pracodawcę

 

Coraz częściej pracodawcy decydują się na zainstalowanie w miejscu pracy systemu monitoringu. W związku z tym pojawia się problem obowiązków i ryzyk obciążających pracodawcę, których niespełnienie może spowodować szereg nieprzyjemnych konsekwencji. Rozwiązań szukać należy głównie w przepisach Ustawy z dnia 29 sierpnia 1997 roku o ochronie danych osobowych. Nie istnieją bowiem żadne szczególne unormowania w tej materii, natomiast obraz i dźwięk uzyskany z nagrań traktowany jest właśnie jako dane osobowe w rozumieniu Ustawy.


Tytułem wstępu wyjaśniam, że za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne np. imię, nazwisko, data urodzenia, numer PESEL, wizerunek. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań. Przetwarzanie danych osobowych to natomiast jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych. W świetle zaś wskazanej Ustawy pracodawca instalujący monitoring spełnia przesłanki do uznania go za podmiot przetwarzający dane.

Wobec powyższego, przetwarzanie danych osobowych pracowników, także w związku z zainstalowaniem monitoringu, możliwe jest tylko przy spełnieniu poniższych warunków:

a) legalności – w szczególności zgodność z Ustawą o ochronie danych osobowych;
b) celowości – pracodawca powinien określić szczegółowo cel przetwarzania danych. Celem wprowadzenia takiej kontroli nie może być jednak sprawdzanie jakości pracy pracowników. Można to zrobić w celu np. zapewnienia bezpieczeństwa, ochrony tajemnicy przedsiębiorstwa czy ograniczenia zjawiska kradzieży. Z opinii Państwowej Inspekcji Pracy wynika bowiem, że monitorowanie pracowników za pomocą kamer w celu sprawdzenia jakości i ilości wykonywanej przez nich pracy powinno być co do zasady niedopuszczalne w przeciwieństwie do monitorowania dla celów bezpieczeństwa.
c) merytorycznej poprawności – zgodność z rzeczywistymi danymi;
d) adekwatności – monitoring może być stosowany tylko w miejscach, które pozwalają osiągnąć zamierzony cel, tzn. nie można zainstalować kamer, np. w łazienkach, w szatniach, prywatnych gabinetach czy pomieszczeniach socjalnych – pracownicy nie świadczą tam pracy, a kamery będą naruszały ich prawo do prywatności, mogą również naruszyć ich godność i inne dobra osobiste, których nakaz poszanowania wynika z przepisu art. 111 KP.
e) ograniczenia czasowego – pracodawca powinien określić czas, po upływie którego dane zostaną zniszczone lub przynajmniej zanonimizowane.

Mając na uwadze w/w zasady, w dalszej części tekstu, przedstawiam najważniejsze reguły i obowiązki pracodawcy w przypadku zainstalowania monitoringu w miejscu pracy.


1. Poinformowanie pracownika o:
1) adresie swojej siedziby i pełnej nazwie, a w przypadku gdy pracodawcą jest osoba fizyczna - o miejscu swojego zamieszkania oraz imieniu i nazwisku;
2) celu zbierania danych, a w szczególności o znanych mu w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych;
3) prawie dostępu do treści swoich danych oraz ich poprawiania;
4) dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej.

Wyżej wymienione nie ma zastosowania jeśli:
1) przepis innej ustawy zezwala na przetwarzanie danych bez ujawniania faktycznego celu ich zbierania;
2) osoba, której dane dotyczą, posiada informacje, o których mowa powyżej czyli np. siedziba pracodawcy.

Pracownicy o powyższym, a także o samym fakcie zainstalowania monitoringu mogą zostać zawiadomieni w dwojaki sposób. Pracodawca może zrobić to poprzez wprowadzenie zmian w regulaminie pracy lub poprzez podanie stosownej, pisemnej informacji każdemu pracownikowi, w której wskazanie zostanie m.in. cel przetwarzania danych oraz wyrażona zostanie zgoda pracownika na ich przetwarzanie (dokładnie art. 24 i 25 Ustawy o o.d.o.). W praktyce nawet pomimo wprowadzenia zmian w regulaminie pracy zaleca się odebranie takich oświadczeń od aktualnych pracowników.

2. Oznaczenie terenu objętego monitoringiem stosownymi tabliczkami informacyjnymi, w tym zawierającymi piktogram np. kamery.
Na tabliczce powinna znajdować się informacja dotycząca tego kto jest administratorem danych czyli podmiotem przetwarzającym dane. Warto także na stronie www pracodawcy zawrzeć taką informację.

3. Zapewnienie, aby dane były:


1) przetwarzane zgodnie z prawem;
2) zbierane dla oznaczonych, zgodnych z prawem celów i niepoddawane dalszemu przetwarzaniu niezgodnemu z tymi celami;
3) merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane;
4) przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania.

Przetwarzanie danych w celu innym niż ten, dla którego zostały zebrane, jest dopuszczalne, jeżeli nie narusza praw i wolności osoby, której dane dotyczą, oraz następuje:
1) w celach badań naukowych, dydaktycznych, historycznych lub statystycznych;
2) z zachowaniem przepisów art. 23 i 25 Ustawy o ochronie danych osobowych.

Trzeba pamiętaj, że Ustawa zabrania przetwarzania danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz danych dotyczących skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym- są to tzw. dane wrażliwe. Przetwarzanie danych wrażliwych jest jednak dopuszczalne, jeżeli osoba, której dane dotyczą, wyrazi na to zgodę na piśmie, chyba że chodzi o usunięcie dotyczących jej danych.

4. Zapewnienie odpowiedniej ochrony przetwarzanym danym osobowym.

Pracodawca jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.

5. Prowadzenie dokumentacji opisującej sposób przetwarzania danych.


Szczegółowe wytyczne w tym zakresie zawiera rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 roku w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U.2004.100.1024).

6. Zapewnienie, aby dane osobowe pracowników były przetwarzane wyłącznie przez osoby do tego upoważnione.
Pracodawca jest obowiązany zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane.
Pracodawca obowiązany jest prowadzić ewidencję osób upoważnionych do ich przetwarzania, która powinna zawierać:
1) imię i nazwisko osoby upoważnionej;
2) datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych osobowych
3) identyfikator, jeżeli dane są przetwarzane w systemie informatycznym.

Osoby, które zostały upoważnione do przetwarzania danych są obowiązane zachować w tajemnicy te dane osobowe oraz sposoby ich zabezpieczenia.

Pracodawca nie ma obowiązku zgłoszenia prowadzonego rejestru danych do rejestracji GIODO.

Ustawa o ochronie danych osobowych przewiduje pewne ułatwienie związane z realizacją wymogów tam wskazanych. Otóż w zakresie poniżej wskazanych obowiązków pracodawca może powołać administratora bezpieczeństwa informacji (lub sam wykonywać te obowiązki):

1) zapewnianie przestrzegania przepisów o ochronie danych osobowych w szczególności przez:
a) sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych (obowiązek przygotowania sprawozdania należy spełnić tylko gdy powołany został administrator bezpieczeństwa informacji)
b) nadzorowanie opracowania i aktualizowania dokumentacji opisującej sposób przetwarzania danych oraz przestrzegania zasad w niej określonych,
c) zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych.
- szczegółowy zakres realizowania obowiązku wskazanego w ust. a i b powyżej określa Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 roku w sprawie trybu i sposobu realizacji zadań w celu zapewnienia przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji (Dz.U.2015.745).

W odniesieniu do konsekwencji ewentualnych naruszeń związanych z zainstalowaniem monitoringu w miejscu pracy PIP ma ograniczone pole działania. Mogą być one jednak przedmiotem kontroli GIODO w zakresie zebranych danych osobowych. Rażące naruszenie w/w zasad w skrajnym przypadku uprawnia pracownika do rozwiązania stosunku pracy ze skutkiem natychmiastowym z winy pracodawcy z zachowaniem prawa do odszkodowania, a także niezależnie od powyższego, do żądania zadośćuczynienia za naruszenie dóbr osobistych.

Autor: Monika Prawdzik aplikant radcowski w Kancelarii Radcy Prawnego Katarzyny Kurczewskiej - Kozikowskiej www.kkancelaria.pl