iSecure logo
  • pl
  • en
    • Blog

    Czy pracodawca może kontrolować skrzynkę pocztową pracownika?

    Maciej Łukaszewicz
    Kategorie

    Każdy z nas wykonując pracę na rzecz swojego pracodawcy, bez względu na formę zatrudnienia, korzysta ze skrzynki pocztowej. Skrzynka pocztowa i domena w większości przypadków dostarczana jest przez pracodawcę. Co do zasady, służbowa skrzynka pocztowa jest wykorzystywana w celu realizacji bieżących obowiązków służbowych przez pracownika. Korespondencja i komunikacja mailowa są dzisiaj jednym z najpowszechniejszych form komunikacji zawodowej. Korzystanie ze służbowej skrzynki pocztowej, nad którą co do zasady kontrolę posiada pracodawca, zawsze rodzi wątpliwości czy nadzorowanie, monitorowanie skrzynki służbowej stoi w zgodzie z prawem do prywatności.

     

    Ze względu na ochronę prywatności pracownika, a także ze względu na przepisy ustawy Kodeks Pracy (dalej również jako „KP”) oraz RODO powstaje pytanie, czy pracodawca posiada w ogóle możliwość wglądu do służbowej skrzynki pocztowej pracownika. Na to pytanie należy odpowiedzieć twierdząco. Pracodawca ma możliwość kontroli służbowej skrzynki pocztowej pracownika. Dla zapewnienia prawa do prywatności pracowników istnieją jednak pewne ograniczenia prawne, o których piszę w dalszej części tekstu.

     

    Obowiązki wynikające z Kodeksu Pracy

    Kodeks Pracy w swoich postanowieniach wprost wskazuje na taką możliwość, poprzez tzw. monitoring poczty elektronicznej (art. 223 § 1). Jako pracodawca, możemy wprowadzić wskazane formy monitoringu w następujących celach wskazanych w KP:

    1. wprowadzenie monitoringu jest niezbędne do zapewnienia organizacji pracy umożliwiającej pełne wykorzystanie czasu pracy oraz
    2. właściwego użytkowania udostępnionych pracownikowi narzędzi pracy.

    Oba wskazane cele nie są do końca precyzyjne i może mieścić się w nich wiele różnych czynności. Przez właściwe użytkowanie udostępnionych narzędzi pracy należy rozumieć formę kontroli nad narzędziami takimi jak komputer, telefon, samochód itd., które udostępniane są do wykonywania obowiązków służbowych. Kontrolując dostęp do skrzynki pocztowej jako pracodawca weryfikujemy, czy pracownik stale i regularnie wykonuje swoje obowiązki służbowe.

    Przez monitoring poczty elektronicznej należy rozumieć stałą formę nadzoru, kontroli służbowej skrzynki pocztowej. Co istotne, za monitoring nie uznamy również samego dostępu pracodawcy do skrzynki pocztowej pracownika. Podobnie będzie w przypadku, gdy zastępujemy pracownika w czasie jego nieobecności i odpowiadamy na wiadomości mailowe w celu zapewnienia stałej realizacji usług. Takie uprawnienia nie wynikają z przepisów o monitoringu, a z nadzorczego charakteru pracodawcy.  Uzasadnienie te również znajdziemy w poglądach doktryny i ekspertów z dziedziny prawa pracy.

    Monitoring poczty nie może jednak naruszać tajemnicy korespondencji oraz innych dóbr osobistych pracownika. W praktyce oznacza to, że pracodawca nie jest uprawniony do weryfikacji i przeglądania wiadomości mailowych o charakterze prywatnym. Jeżeli zdarzy się sytuacja, że osoba bliska pracownikowi wyśle do niego wiadomość na służbową skrzynkę pocztową związaną ze sprawami prywatnymi tj. odbiór dziecka z przedszkola – pracodawca nie może odczytać takiej wiadomości. Należy pamiętać, że tajemnica korespondencji jest określona jako jedno z dóbr osobistych wskazanych w art. 23 Kodeksu Cywilnego, dodatkowo chroniona jest również w samej Konstytucji RP. Zakaz ten jest więc bezwzględny.

     

    Obowiązki wynikające z RODO

    Pracodawca nie jest wyłącznie „związany” reżimem prawnym i ograniczeniami zawartymi w Kodeksie Pracy. Prowadzenie monitoringu bez względu na jego formę związane jest w większości przypadków z przetwarzaniem danych osobowych. Przetwarzanie danych osobowych uregulowane jest w rozporządzeniu o ochronie danych osobowych („RODO”). I ten reżim prawny również powinien być przestrzegany przez pracodawcę stosującego monitoring. Oznacza to, że pracodawca jako administrator danych samodzielnie ustala cele i sposoby przetwarzania danych osobowych. W tym kontekście wydaje się, że może wychodzić również poza cele wskazane w Kodeksie Pracy. W głównej mierze stosując monitoring poczty elektronicznej lub też inną formę monitoringu, należy pamiętać o zasadach RODO przewidzianych w art. 5, w tym m.in.:

    1. Legalności – musimy być w stanie wykazać zgodność z przepisami prawa wprowadzając daną formę monitoringu.
    2. Minimalizacji – zbierać tylko minimalny zakres danych. W przypadku przeglądania prywatnej korespondencji pracownika zdecydowanie naruszymy zasadę minimalizacji danych.
    3. Integralność i poufności – dostęp do skrzynki pocztowej pracownika powinna mieć bardzo wąska i ograniczona liczba osób (przełożeni, zarządzający).

    Wprowadzając monitoring poczty elektronicznej na podstawie RODO jesteśmy zobligowani w szczególności do:

    1. spełnienia obowiązku informacyjnego zgodnie z art. 13 RODO.
    2. ustalenia okresu przechowywania danych z monitoringu.
    3. ewentualnego zawarcia umowy powierzenia z zewnętrznymi podmiotami mającymi dostęp do danych z monitoringu, np. dostawcy IT, dostawcy domeny pocztowej.

     

    Okres przechowywania danych

    Przepisy KP nie określają maksymalnego okresu przechowywania danych z monitoringu poczty elektronicznej oraz innych form monitoringu. Okres przechowywania danych ustala każdorazowo pracodawca mając na uwadze zasadę ograniczenia przechowywania danych z RODO – dane osobowe powinny być przetwarzane do momentu istnienia celu przetwarzania. Pracodawca powinien ustalić okres retencji danych z monitoringu poczty lub innych form monitoringu w wewnętrznych politykach retencji danych. Dodatkowo o okresie przechowywania danych należy poinformować w regulaminie pracy (lub obwieszczeniu) oraz klauzuli informacyjnej.

    Pobierz wpis w wersji pdf
    iSecure Signet

    iSecure to firma doradcza, której działalność skoncentrowana jest na zagadnieniach związanych z ochroną danych osobowychbezpieczeństwem informacji, w tym kompleksowym wdrażaniem RODO, przygotowywaniu planów działań w sytuacjach szczególnych zagrożeń, przeprowadzaniu testów penetracyjnych, wdrażaniu normy ISO 27001 i obsłudze prawnej firm działających w Internecie. Eksperci iSecure przeprowadzają także szkolenia oraz są autorami licznych publikacji i wystąpień.

    Podobne wpisy:

    Maciej Łukaszewicz

    Rola Inspektora Ochrony Danych w organizacji. Co IOD może, a czego nie powinien robić?

    Niezależność Inspektora Ochrony Danych (IOD) jest jednym z najważniejszych elementów skutecznej ochrony danych osobowych. Przepisy RODO, a w szczególności artykuł 38, gwarantują inspektorowi autonomię, dzięki której może on wypełniać swoje zadania zgodnie z artykułem 39. Niezależność ta oznacza, że IOD powinien mieć możliwość samodzielnego dostarczania analiz i zaleceń dotyczących przetwarzania danych oraz podejmowania decyzji bez wpływu innych osób czy podmiotów w organizacji.

    Czytaj więcej
    Magdalena Jacolik

    Raportować incydenty – czyli łatwo powiedzieć a coraz trudniej zapanować – analiza projektu ustawy o systemach sztucznej inteligencji i nowego podejścia PUODO

    Projekt ustawy o systemach sztucznej inteligencji zakłada wprowadzenie kompleksowych regulacji dotyczących bezpieczeństwa AI. Jednym z kluczowych elementów ma być nowy system zgłaszania poważnych incydentów. Ze względu na przewidziane wysokie kary za naruszenia, warto już teraz przeanalizować proponowane wymogi i rozpocząć przygotowania do ich wdrożenia. Ograniczony zakres podmiotowy Projektowane przepisy nie obejmą wszystkich podmiotów wykorzystujących AI. […]

    Czytaj więcej
    Paweł Wojciechowski

    Program lojalnościowy zgodny z RODO – jak podejść do tematu?

    Słowo wstępu Programy lojalnościowe to jedno z powszechnie stosowanych na rynku narzędzi marketingowych. Rozwiązanie pozwala w sposób efektywny budować długotrwałe relacje z klientami, co ma przełożenie na sprzedaż oferowanych usług czy produktów przez firmę. Z drugiej strony, programy lojalnościowe mają wiele zalet dla klientów, m. in. pozwalają im być na bieżąco z ofertą firmy, nabywać […]

    Czytaj więcej
    Zapis do newslettera
    Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki