Od 25 maja 2018 r. obowiązuje w prawie polskim Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, zwane RODO. W tym samym czasie została wprowadzona w życie polska ustawa z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz.U.2018 poz. 1000), w której uregulowano kwestie monitoringu wizyjnego i monitoringu poczty elektronicznej. Przyjrzyjmy się, co można zrobić, aby wprowadzić monitoring zgodny z RODO.
Gdzie znajdę przepisy dotyczące monitoringu w pracy?
Zgodnie z art. 88 powyższego rozporządzenia RODO "państwa członkowskie mogą zawrzeć w swoich przepisach lub w porozumieniach zbiorowych bardziej szczegółowe przepisy mające zapewnić ochronę praw i wolności w przypadku przetwarzania danych osobowych pracowników w związku z zatrudnieniem, w szczególności do celów rekrutacji, wykonania umowy o pracę, w tym wykonania obowiązków określonych przepisami lub porozumieniami zbiorowymi, zarządzania, planowania i organizacji pracy, równości i różnorodności w miejscu pracy, bezpieczeństwa i higieny pracy, ochrony własności pracodawcy lub klienta oraz do celów indywidualnego lub zbiorowego wykonywania praw i korzystania ze świadczeń związanych z zatrudnieniem, a także do celów zakończenia stosunku pracy. Przepisy te muszą obejmować odpowiednie i szczegółowe środki zapewniające osobie, której dane dotyczą, poszanowanie jej godności, prawnie uzasadnionych interesów i praw podstawowych, w szczególności pod względem przejrzystości przetwarzania, przekazywania danych osobowych w ramach grupy przedsiębiorstw lub grupy przedsiębiorców prowadzących wspólną działalność gospodarczą oraz systemów monitorujących w miejscu pracy".
Wobec powyższego polski ustawodawca dodał do Kodeksu pracy między innymi art. 22(2), który reguluje kwestie związane z monitoringiem w zakładzie pracy. Zatem "jeżeli jest to niezbędne do zapewnienia bezpieczeństwa pracowników lub ochrony mienia lub kontroli produkcji lub zachowania w tajemnicy informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę, pracodawca może wprowadzić szczególny nadzór nad terenem zakładu pracy lub terenem wokół zakładu pracy w postaci środków technicznych umożliwiających rejestrację obrazu (monitoring)".
Miejsca, w których monitoring zgodny z RODO nie powinien rejestrować pracowników
Monitoring zgodny z RODO nie powinien obejmować pomieszczeń sanitarnych, szatni, stołówek oraz palarni lub pomieszczeń udostępnianych zakładowej organizacji związkowej, chyba że stosowanie go w tych pomieszczeniach jest niezbędne do realizacji celów, tj. bezpieczeństwa pracowników i nie naruszy to godności oraz innych dóbr osobistych pracownika, a także zasady wolności i niezależności związków zawodowych, w szczególności poprzez zastosowanie technik uniemożliwiających rozpoznanie przebywających w tych pomieszczeniach osób (art. 22(2) § 2 Kodeks pracy). Jeżeli w wyżej wymienionych miejscach zostanie zamontowany monitoring, powinien rejestrować obraz z wykorzystaniem technik maskujących identyfikację poszczególnych osób. Warto wskazać, że w przypadku jego wprowadzenia, pracodawca oznacza pomieszczenia i teren monitorowany w sposób widoczny i czytelny, za pomocą odpowiednich znaków lub ogłoszeń dźwiękowych, nie później niż jeden dzień przed jego uruchomieniem (art. 22(2) § 9 Kodeks pracy). Pracownicy powinni być poinformowani o umieszczeniu kamer na terenie zakładu pracy, z wyraźnym oznaczeniem miejsc, w których rejestrują obraz.
Okres przechowywania nagrań z monitoringu w firmie
Czas przechowywania nagrań z monitoringu jest ograniczony. Nagrania obrazu pracodawca powinien przetwarzać wyłącznie do celów, dla których zostały zebrane, i przechowywać przez okres nieprzekraczający 3 miesięcy od dnia nagrania (art. 22(2) § 3 Kodeks pracy). Natomiast w przypadku, w którym nagrania obrazu stanowią dowód w postępowaniu prowadzonym na podstawie prawa lub pracodawca powziął wiadomość, iż mogą one stanowić dowód w postępowaniu, powyższy termin ulega przedłużeniu do czasu prawomocnego zakończenia postępowania (art. 22(2) § 4 Kodeks pracy). Pracodawca powinien zniszczyć nagrania zawierające dane osobowe uzyskane w wyniku monitoringu po upływie ustawowo wskazanego okresu przechowywania nagrań.
Jak wprowadzić wewnętrzne regulacje dotyczące monitoringu pracowniczego zgodnego z RODO?
Pracodawca, który zdecyduje o wprowadzeniu monitoringu wizyjnego na terenie firmy, powinien zapisać cele, zakres oraz sposób zastosowania monitoringu w układzie zbiorowym pracy lub w regulaminie pracy albo w obwieszczeniu, jeżeli pracodawca nie jest objęty układem zbiorowym pracy lub nie jest obowiązany do ustalenia regulaminu pracy (art. 22(2) § 6 Kodeks pracy). Monitoring może zostać zainstalowany wewnątrz budynków, ale również na terenie dookoła firmy. Pracodawca powinien w stosownym czasie rozpocząć konsultacje ze związkami zawodowymi, jeśli istnieją one na terenie zakładu pracy, lub z przedstawicielami pracowników w celu wprowadzenia regulacji dotyczących monitoringu.
Warto pamiętać, że pracodawca powinien poinformować pracowników o wprowadzeniu monitoringu w sposób przyjęty u niego, nie później niż 2 tygodnie przed jego uruchomieniem (art. 22(2) § 7 Kodeks pracy). Pracodawca przed dopuszczeniem pracownika do pracy powinien poinformować go na piśmie o celach, zakresie i sposobie funkcjonowania monitoringu na terenie zakładu pracy. Ponadto miejsca umieszczenia kamer rejestrujących muszą być stosownie oznaczone, w widoczny i zrozumiały sposób. Pracodawca powinien co najmniej na jeden dzień przed uruchomieniem monitoringu zapoznać pracowników z oznaczeniami wskazującymi kamery, jego funkcjonowaniem i zakresem.
Jeśli w firmie istniał wcześniej monitoring, pracownicy po 25 maja powinni otrzymać pisemne informacje o funkcjonowaniu monitoringu wizyjnego, z wyszczególnieniem celów, wskazaniem zakresu i jego przeznaczeniem. Nowi pracownicy przed dopuszczeniem ich do pracy powinni również otrzymać o nim pisemne informacje.
Informacje dotyczące monitoringu powinny być przekazywane pracownikom w sposób jasny i czytelny. W tym celu pracodawca powinien stworzyć stosowne procedury. Monitoring funkcjonujący na terenie firmy nie może naruszać praw i wolności pracowników, w szczególności nagrania z dźwiękiem nie mogą służyć zbieraniu prywatnych informacji o pracowniku. Pozyskiwanie informacji o nim poprzez nagrania z kamer, np. nagrania jego prywatnych rozmów telefonicznych, jest niezgodne z przepisami o RODO. Ponadto należy uregulować jasne zasady przetwarzania danych osobowych pomiędzy spółkami w grupie kapitałowej, które objęte są jednym monitoringiem.
Wskazówki Prezesa Urzędu Ochrony Danych Osobowych
Warto przytoczyć stanowisko Prezesa Urzędu Ochrony Danych Osobowych, który opracował podpowiedzi w zakresie stosowania monitoringu wizyjnego oraz wskazał termin na przygotowanie się do nowych regulacji w tym zakresie, to jest do końca września 2018 r. Do tego czasu nie były nakładane kary na pracodawców w razie niedostosowania się do przepisów. Na rządowej stronie internetowej Urzędu Ochrony Danych Osobowych zostały umieszczone „Wskazówki Prezesa UODO dotyczące wykorzystywania monitoringu wizyjnego”.
Jeśli pracodawca zdecyduje o "wyborze monitoringu jako rozwiązania niezbędnego, dojść powinno do wyboru odpowiedniej technologii, kryteriów wykorzystywania urządzeń w konkretnych sytuacjach oraz ustaleń dotyczących przetwarzania danych, odnoszących się także do zasad dostępu i okresu przechowywania. Zasada ta oznacza także, że urządzenia służące do takiego nadzoru mogą być stosowane wyłącznie jako środki pomocnicze, gdy cel rzeczywiście uzasadnia ich użycie" – zob. wskazówki Prezesa UODO dotyczące wykorzystywania monitoringu wizyjnego.
Według powyższych wskazówek: W przypadku monitoringu wizyjnego będą to operacje polegające w szczególności na zapisywaniu, przeglądaniu, udostępnianiu i usuwaniu nagrań zarejestrowanych zdarzeń i osób niezależnie od charakteru nośnika, w którym są przechowywane (dyski twarde systemu, nagrania zapisane w pamięci urządzenia umożliwiającego zdalny dostęp – smartfon, komputery przenośne itp.).
Należy podkreślić, że jeśli pracodawca zleci instalację i obsługę systemu monitoringu zewnętrznej firmie, to powinien sporządzić i podpisać stosowną umowę o przekazaniu przetwarzania danych osobowych.
Ponadto pracownik powinien zostać poinformowany na piśmie o śledzeniu służbowej poczty elektronicznej, dodatkowo o celach, zakresie i sposobie zastosowania takiego monitoringu. Ponadto tak jak w przypadku monitoringu wizyjnego, pracodawca powinien umieścić stosowne regulacje w regulaminie pracy lub w obwieszczeniu.
Konkludując, należy podkreślić, że przepisy o RODO dopuszczają monitoring na terenie zakładu pracy, jednak wówczas, gdy służy on zabezpieczeniu pracowników, kontroli produkcji czy chroni przed ujawnieniem informacji, które mogą narazić pracodawcę na szkodę. Do przetwarzanie danych osobowych dochodzi wówczas, gdy obrazy z kamer pozwalają zidentyfikować osoby, a zarejestrowane nagrania są przechowywane na dyskach.
Należy pamiętać, że monitoring zgodny z RODO nie może naruszać praw wolnościowych pracowników. Kamery rejestrujące, zamontowane na terenie zakładu pracy, powinny być jasno i czytelnie oznaczone. Natomiast pracownicy powinni być poinstruowani, jak wyglądają tablice informujące o kamerach najpóźniej na jeden dzień przed jego uruchomieniem.
Pracodawcy, którzy zdecydują się na zainstalowanie monitoringu, powinni stworzyć stosowne procedury, z wyszczególnieniem celów, zakresem oraz sposobem jego działania. Informacje o wprowadzeniu monitoringu powinny trafić do pracowników na dwa tygodnie przed jego uruchomieniem na terenie firmy. Pracodawcy mieli czas do końca września 2018 r. na dostosowanie zainstalowanego monitoringu do przepisów zgodnych z RODO.
