Każdy z nas wykonując pracę na rzecz swojego pracodawcy, bez względu na formę zatrudnienia, korzysta ze skrzynki pocztowej. Skrzynka pocztowa i domena w większości przypadków dostarczana jest przez pracodawcę. Co do zasady, służbowa skrzynka pocztowa jest wykorzystywana w celu realizacji bieżących obowiązków służbowych przez pracownika. Korespondencja i komunikacja mailowa są dzisiaj jednym z najpowszechniejszych form komunikacji zawodowej. Korzystanie ze służbowej skrzynki pocztowej, nad którą co do zasady kontrolę posiada pracodawca, zawsze rodzi wątpliwości czy nadzorowanie, monitorowanie skrzynki służbowej stoi w zgodzie z prawem do prywatności.
Ze względu na ochronę prywatności pracownika, a także ze względu na przepisy ustawy Kodeks Pracy (dalej również jako „KP”) oraz RODO powstaje pytanie, czy pracodawca posiada w ogóle możliwość wglądu do służbowej skrzynki pocztowej pracownika. Na to pytanie należy odpowiedzieć twierdząco. Pracodawca ma możliwość kontroli służbowej skrzynki pocztowej pracownika. Dla zapewnienia prawa do prywatności pracowników istnieją jednak pewne ograniczenia prawne, o których piszę w dalszej części tekstu.
Obowiązki wynikające z Kodeksu Pracy
Kodeks Pracy w swoich postanowieniach wprost wskazuje na taką możliwość, poprzez tzw. monitoring poczty elektronicznej (art. 223 § 1). Jako pracodawca, możemy wprowadzić wskazane formy monitoringu w następujących celach wskazanych w KP:
- wprowadzenie monitoringu jest niezbędne do zapewnienia organizacji pracy umożliwiającej pełne wykorzystanie czasu pracy oraz
- właściwego użytkowania udostępnionych pracownikowi narzędzi pracy.
Oba wskazane cele nie są do końca precyzyjne i może mieścić się w nich wiele różnych czynności. Przez właściwe użytkowanie udostępnionych narzędzi pracy należy rozumieć formę kontroli nad narzędziami takimi jak komputer, telefon, samochód itd., które udostępniane są do wykonywania obowiązków służbowych. Kontrolując dostęp do skrzynki pocztowej jako pracodawca weryfikujemy, czy pracownik stale i regularnie wykonuje swoje obowiązki służbowe.
Przez monitoring poczty elektronicznej należy rozumieć stałą formę nadzoru, kontroli służbowej skrzynki pocztowej. Co istotne, za monitoring nie uznamy również samego dostępu pracodawcy do skrzynki pocztowej pracownika. Podobnie będzie w przypadku, gdy zastępujemy pracownika w czasie jego nieobecności i odpowiadamy na wiadomości mailowe w celu zapewnienia stałej realizacji usług. Takie uprawnienia nie wynikają z przepisów o monitoringu, a z nadzorczego charakteru pracodawcy. Uzasadnienie te również znajdziemy w poglądach doktryny i ekspertów z dziedziny prawa pracy.
Monitoring poczty nie może jednak naruszać tajemnicy korespondencji oraz innych dóbr osobistych pracownika. W praktyce oznacza to, że pracodawca nie jest uprawniony do weryfikacji i przeglądania wiadomości mailowych o charakterze prywatnym. Jeżeli zdarzy się sytuacja, że osoba bliska pracownikowi wyśle do niego wiadomość na służbową skrzynkę pocztową związaną ze sprawami prywatnymi tj. odbiór dziecka z przedszkola – pracodawca nie może odczytać takiej wiadomości. Należy pamiętać, że tajemnica korespondencji jest określona jako jedno z dóbr osobistych wskazanych w art. 23 Kodeksu Cywilnego, dodatkowo chroniona jest również w samej Konstytucji RP. Zakaz ten jest więc bezwzględny.
Obowiązki wynikające z RODO
Pracodawca nie jest wyłącznie „związany” reżimem prawnym i ograniczeniami zawartymi w Kodeksie Pracy. Prowadzenie monitoringu bez względu na jego formę związane jest w większości przypadków z przetwarzaniem danych osobowych. Przetwarzanie danych osobowych uregulowane jest w rozporządzeniu o ochronie danych osobowych („RODO”). I ten reżim prawny również powinien być przestrzegany przez pracodawcę stosującego monitoring. Oznacza to, że pracodawca jako administrator danych samodzielnie ustala cele i sposoby przetwarzania danych osobowych. W tym kontekście wydaje się, że może wychodzić również poza cele wskazane w Kodeksie Pracy. W głównej mierze stosując monitoring poczty elektronicznej lub też inną formę monitoringu, należy pamiętać o zasadach RODO przewidzianych w art. 5, w tym m.in.:
- Legalności – musimy być w stanie wykazać zgodność z przepisami prawa wprowadzając daną formę monitoringu.
- Minimalizacji – zbierać tylko minimalny zakres danych. W przypadku przeglądania prywatnej korespondencji pracownika zdecydowanie naruszymy zasadę minimalizacji danych.
- Integralność i poufności – dostęp do skrzynki pocztowej pracownika powinna mieć bardzo wąska i ograniczona liczba osób (przełożeni, zarządzający).
Wprowadzając monitoring poczty elektronicznej na podstawie RODO jesteśmy zobligowani w szczególności do:
- spełnienia obowiązku informacyjnego zgodnie z art. 13 RODO.
- ustalenia okresu przechowywania danych z monitoringu.
- ewentualnego zawarcia umowy powierzenia z zewnętrznymi podmiotami mającymi dostęp do danych z monitoringu, np. dostawcy IT, dostawcy domeny pocztowej.
Okres przechowywania danych
Przepisy KP nie określają maksymalnego okresu przechowywania danych z monitoringu poczty elektronicznej oraz innych form monitoringu. Okres przechowywania danych ustala każdorazowo pracodawca mając na uwadze zasadę ograniczenia przechowywania danych z RODO – dane osobowe powinny być przetwarzane do momentu istnienia celu przetwarzania. Pracodawca powinien ustalić okres retencji danych z monitoringu poczty lub innych form monitoringu w wewnętrznych politykach retencji danych. Dodatkowo o okresie przechowywania danych należy poinformować w regulaminie pracy (lub obwieszczeniu) oraz klauzuli informacyjnej.
