Monitorowanie poczty pracownika – Orzeczenie ETPCz (2017)

/Monitorowanie poczty pracownika – Orzeczenie ETPCz (2017)

Monitorowanie poczty elektronicznej pracownika

  • Czy pracodawca może czytać maile (korespondencję) pracownika?

  • W jaki sposób wyrok ETPCz przekłada się na Polskę?

  • Jakie warunki muszą być spełnione, aby pracodawca mógł monitorować korespondencję pracownika?

Wyrok ETPCz w sprawie Barbulescu

Europejski Trybunał Praw Człowieka (ETPCz) odniósł się (dwukrotnie) do sprawy obywatela Rumunii, który w 2008 roku został zwolniony z pracy z powodu korzystania z firmowego połączenia internetowego do wysyłania prywatnych wiadomości.

Obywatel Rumunii wykorzystywał w swojej pracy komunikator internetowy, który został zainstalowany na polecenie pracodawcy. Komunikator był wykorzystywany do celów służbowych oraz prywatnych. Pracownik został poinformowany o zakazie korzystania z narzędzi informatycznych do celów prywatnych. Pracodawca monitorował treść wysyłanych wiadomości przez pracownika. W konsekwencji, z uwagi na korzystanie z komunikatora w celach prywatnych, pracodawca rozwiązał z pracownikiem umowę o pracę. Pracownik skierował sprawę do sądu w Rumunii, jednakże sąd przyznał rację pracodawcy.

W 2008 roku pracownik skierował sprawę do Europejskiego Trybunału Praw Człowieka (ETPCz) z uwagi na naruszenie art. 8 Europejskiej Konwencji Praw Człowieka (tj. prawo do poszanowania życia rodzinnego, domu i korespondencji). Trybunał zajmował się sprawą dwukrotnie. Pierwszy raz, w styczniu 2016 roku (12.01.2016) wydał orzeczenie, że Pracodawca (w tym konkretnym przypadku) postępował prawidłowo i nie naruszył prawa do prywatności pracownika a zastosowanie przez pracodawcę monitoringu było adekwatne do sytuacji. Rozstrzygnięcie zostało zaskarżone i skierowane do Wielkiej Izby Trybunału. Organ odwoławczy we wrześniu 2017 roku (05.09.2017) orzekł, że w pracodawca naruszył prawo do poszanowania życia rodzinnego.

Europejski Trybunał Praw Człowieka uzasadnił, że pracownik nie został przez pracodawcę właściwie poinformowany o monitoringu komunikacji elektronicznej, jaki prowadziła jego firma. Nie otrzymał też informacji, że pracodawca ma techniczne możliwości uzyskania dostępu do treści korespondencji. Orzeczenie stwierdza, że decyzja pracodawcy o monitorowaniu korespondencji pracownika nie zapadła w wyniku uzasadnionych przesłanek do kontroli (tj. nie udokumentowano, że pracownik mógł stwarzać zagrożenie dla pracodawcy). Trybunał wskazał również, że zakaz używania komunikatora do celów prywatnych nie może być traktowany jako ostrzeżenie o monitorowaniu korespondencji.

Wnioski

  1. Pracodawca ma prawo monitorować korespondencję pracownika, jednak może to realizować w ograniczonym zakresie.
  2. Pracodawca jest zobowiązany do powiadomienia pracownika o stosowaniu monitoringu wiadomości, zakresie monitoringu oraz o sposobie realizacji.
  3. Pracodawca powinien wdrożyć stosowne procedury (regulaminy, polityki) ustalające szczegółowo zasady monitoringu.
  4. Monitoring zawsze musi być uzasadniony a pracodawca jest zobowiązany stosować środki i zakres monitoringu stosowne do sytuacji.
  5. Monitoring nie może nadmiernie ingerować w prywatność pracownika.

Wpływ orzeczenia ETPCz na regulacje w Polsce

Orzeczenie prawdopodobnie będzie miało wpływ na ustalanie i egzekwowanie kar, które od wejścia RODO będą mogły wynosić 20 mln euro lub 4% rocznych obrotów firmy. Orzeczenie ETPcz należy traktować jako zalecenie dobrych praktyk.

Należy zaznaczyć, że poinformowanie pracownika o monitorowaniu służbowej poczty elektronicznej jest tylko jednym z elementów, jakie pracodawcy winni wdrożyć w swoich organizacjach.

Warunki uprawniające do monitorowania korespondencji pracownika

Kluczowym elementem zapewniającym pracodawcy prawo do monitorowania korespondencji pracowników jest wdrożenie regulaminów (polityk) i objęcie nimi wszystkich pracowników.

Należą do nich:

  • Powiadomienie o możliwości monitoringu
    • komputerów,
    • kanałów internetowych,
    • dokumentów,
    • poczty elektronicznej,
    • uruchamianych stron www/procesów/aplikacji,
    • wizyjnym / nagrywanie głosu.
  • Regulaminy
    • korzystania ze sprzętu komputerowego i drukarek (czy można korzystać w celach prywatnych),
    • użytkowania komputerów przenośnych poza biurem (np. czy można zostawić w bagażniku samochodu),
    • posiadania pornografia i erotyki, multimediów (czy można posiadać te zasoby na użytek własny),
    • korzystania z poczty elektronicznej (czy można korzystać w celach prywatnych),
    • urządzeń zewnętrznych typu pendrive,
    • korzystania z urządzeń pamięci masowych,
    • korzystania z łączy internetowych w biurze i poza biurem (kawiarnie internetowe),
    • wykorzystania telefonów komórkowych, w tym prywatnych,
    • korzystania z usług VPN.

Dobre praktyki

[UDOKUMENTOWANIE]

Fakt powiadomienia pracownika oraz zapoznania się pracownika z regulaminami (politykami) winien być odpowiednio udokumentowany. Obowiązek udokumentowania, w przypadku procesu z pracownikiem, będzie spoczywał na pracodawcy. Zaleca się pisemne poświadczenie przez pracownika, że zapoznał się z dokumentacją (pracownik, nie musi się zgadzać, ma potwierdzić, że się zapoznał).

[PROSTOTA DOKUMENTACJI]

Dokumentacja (regulaminy, polityki) dla pracowników musi być napisana językiem prostym, zrozumiałym oraz w sposób jednoznaczny. Posługiwanie się zwrotami postaci: „monitoring TCP IP”, „monitoring SNMP” itp. należy uznać za niewłaściwe.

[PROCES MONITOROWANIA]

Proces monitorowania musi być uzasadniony i adekwatny do sytuacji, równomierny do wszystkich pracowników. Intensywny monitoring jednego pracownika (bądź grupy pracowników) jest dopuszczalny, gdy zachodzą uzasadnione przesłanki, że pracownik może stwarzać zagrożenie dla pracodawcy (np. narusza polityki bezpieczeństwa danych, tajemnicę przedsiębiorstwa, zakaz konkurencji itp.). Nawet w takim przypadku, monitoring nie może trwać w nieskończoność. Dlatego warto wdrożyć procedurę w stosownej polityce/regulaminie, która będzie określała zasady intensywnego monitoringu (kiedy, przesłanki, jak długo, kto ma dostęp do danych z monitoringu itp).

[SZKOLENIA OKRESOWE]

Obowiązkiem pracodawcy jest okresowe szkolenie pracowników a także zapoznawanie na bieżąco ze zmianami w regulaminach i politykach.  Warto również odświeżać pracownikom wiedzę o ich prawach i obowiązkach.

W jaki sposób pomagamy klientom w zakresie monitoringu?

  1. Wdrożenie systemu eAuditor wraz z odpowiednimi procedurami sprawi, że Twoja organizacja będzie zabezpieczona pod względem formalnym a jednocześnie wzrośnie poziom rzeczywistego bezpieczeństwa danych.
  2. Na każdym etapie współpracy pomagamy klientom w ocenie poprawności obowiązujących regulaminów/procedur/polityk.
  3. System eAuditor posiada szereg funkcjonalności monitoringu infrastruktury IT. Monitoring jest indywidualnie konfigurowalny.
  4. Dane z monitoringu są w pełni bezpieczne i nie są wysyłane poza infrastrukturę IT klienta.
  5. Monitoring pracowników należy traktować jako element zabezpieczający organizację pod kątem jej bezpieczeństwa (a nie narzędzia wymierzonego w pracowników).
  6. W każdej chwili administrator systemu może trwale usunąć dane z monitoringu.
  7. Do celów szkoleń można wykorzystać wbudowany do eAuditora system e-Learning lub video-learning (LMS – Learning Management System). Więcej informacji na stronie: https://www.eAuditor.eu/lms.

MONITOROWANIE INFRASTRUKTURY IT

Jeśli masz wątpliwości skorzystaj z naszych szkoleń www.akademiabtc.pl lub skontaktuj się z nami. Odpowiemy na wszystkie Twoje pytania.

Opracowanie: Maciej Kaczyński

Demo on-line
Filmy instruktażowe
Nowości v6
Kontakt