iSecure logo
  • pl
  • en
    • Blog

    Czy pracodawca może kontrolować skrzynkę pocztową pracownika?

    Maciej Łukaszewicz
    Kategorie

    Każdy z nas wykonując pracę na rzecz swojego pracodawcy, bez względu na formę zatrudnienia, korzysta ze skrzynki pocztowej. Skrzynka pocztowa i domena w większości przypadków dostarczana jest przez pracodawcę. Co do zasady, służbowa skrzynka pocztowa jest wykorzystywana w celu realizacji bieżących obowiązków służbowych przez pracownika. Korespondencja i komunikacja mailowa są dzisiaj jednym z najpowszechniejszych form komunikacji zawodowej. Korzystanie ze służbowej skrzynki pocztowej, nad którą co do zasady kontrolę posiada pracodawca, zawsze rodzi wątpliwości czy nadzorowanie, monitorowanie skrzynki służbowej stoi w zgodzie z prawem do prywatności.

     

    Ze względu na ochronę prywatności pracownika, a także ze względu na przepisy ustawy Kodeks Pracy (dalej również jako „KP”) oraz RODO powstaje pytanie, czy pracodawca posiada w ogóle możliwość wglądu do służbowej skrzynki pocztowej pracownika. Na to pytanie należy odpowiedzieć twierdząco. Pracodawca ma możliwość kontroli służbowej skrzynki pocztowej pracownika. Dla zapewnienia prawa do prywatności pracowników istnieją jednak pewne ograniczenia prawne, o których piszę w dalszej części tekstu.

     

    Obowiązki wynikające z Kodeksu Pracy

    Kodeks Pracy w swoich postanowieniach wprost wskazuje na taką możliwość, poprzez tzw. monitoring poczty elektronicznej (art. 223 § 1). Jako pracodawca, możemy wprowadzić wskazane formy monitoringu w następujących celach wskazanych w KP:

    1. wprowadzenie monitoringu jest niezbędne do zapewnienia organizacji pracy umożliwiającej pełne wykorzystanie czasu pracy oraz
    2. właściwego użytkowania udostępnionych pracownikowi narzędzi pracy.

    Oba wskazane cele nie są do końca precyzyjne i może mieścić się w nich wiele różnych czynności. Przez właściwe użytkowanie udostępnionych narzędzi pracy należy rozumieć formę kontroli nad narzędziami takimi jak komputer, telefon, samochód itd., które udostępniane są do wykonywania obowiązków służbowych. Kontrolując dostęp do skrzynki pocztowej jako pracodawca weryfikujemy, czy pracownik stale i regularnie wykonuje swoje obowiązki służbowe.

    Przez monitoring poczty elektronicznej należy rozumieć stałą formę nadzoru, kontroli służbowej skrzynki pocztowej. Co istotne, za monitoring nie uznamy również samego dostępu pracodawcy do skrzynki pocztowej pracownika. Podobnie będzie w przypadku, gdy zastępujemy pracownika w czasie jego nieobecności i odpowiadamy na wiadomości mailowe w celu zapewnienia stałej realizacji usług. Takie uprawnienia nie wynikają z przepisów o monitoringu, a z nadzorczego charakteru pracodawcy.  Uzasadnienie te również znajdziemy w poglądach doktryny i ekspertów z dziedziny prawa pracy.

    Monitoring poczty nie może jednak naruszać tajemnicy korespondencji oraz innych dóbr osobistych pracownika. W praktyce oznacza to, że pracodawca nie jest uprawniony do weryfikacji i przeglądania wiadomości mailowych o charakterze prywatnym. Jeżeli zdarzy się sytuacja, że osoba bliska pracownikowi wyśle do niego wiadomość na służbową skrzynkę pocztową związaną ze sprawami prywatnymi tj. odbiór dziecka z przedszkola – pracodawca nie może odczytać takiej wiadomości. Należy pamiętać, że tajemnica korespondencji jest określona jako jedno z dóbr osobistych wskazanych w art. 23 Kodeksu Cywilnego, dodatkowo chroniona jest również w samej Konstytucji RP. Zakaz ten jest więc bezwzględny.

     

    Obowiązki wynikające z RODO

    Pracodawca nie jest wyłącznie „związany” reżimem prawnym i ograniczeniami zawartymi w Kodeksie Pracy. Prowadzenie monitoringu bez względu na jego formę związane jest w większości przypadków z przetwarzaniem danych osobowych. Przetwarzanie danych osobowych uregulowane jest w rozporządzeniu o ochronie danych osobowych („RODO”). I ten reżim prawny również powinien być przestrzegany przez pracodawcę stosującego monitoring. Oznacza to, że pracodawca jako administrator danych samodzielnie ustala cele i sposoby przetwarzania danych osobowych. W tym kontekście wydaje się, że może wychodzić również poza cele wskazane w Kodeksie Pracy. W głównej mierze stosując monitoring poczty elektronicznej lub też inną formę monitoringu, należy pamiętać o zasadach RODO przewidzianych w art. 5, w tym m.in.:

    1. Legalności – musimy być w stanie wykazać zgodność z przepisami prawa wprowadzając daną formę monitoringu.
    2. Minimalizacji – zbierać tylko minimalny zakres danych. W przypadku przeglądania prywatnej korespondencji pracownika zdecydowanie naruszymy zasadę minimalizacji danych.
    3. Integralność i poufności – dostęp do skrzynki pocztowej pracownika powinna mieć bardzo wąska i ograniczona liczba osób (przełożeni, zarządzający).

    Wprowadzając monitoring poczty elektronicznej na podstawie RODO jesteśmy zobligowani w szczególności do:

    1. spełnienia obowiązku informacyjnego zgodnie z art. 13 RODO.
    2. ustalenia okresu przechowywania danych z monitoringu.
    3. ewentualnego zawarcia umowy powierzenia z zewnętrznymi podmiotami mającymi dostęp do danych z monitoringu, np. dostawcy IT, dostawcy domeny pocztowej.

     

    Okres przechowywania danych

    Przepisy KP nie określają maksymalnego okresu przechowywania danych z monitoringu poczty elektronicznej oraz innych form monitoringu. Okres przechowywania danych ustala każdorazowo pracodawca mając na uwadze zasadę ograniczenia przechowywania danych z RODO – dane osobowe powinny być przetwarzane do momentu istnienia celu przetwarzania. Pracodawca powinien ustalić okres retencji danych z monitoringu poczty lub innych form monitoringu w wewnętrznych politykach retencji danych. Dodatkowo o okresie przechowywania danych należy poinformować w regulaminie pracy (lub obwieszczeniu) oraz klauzuli informacyjnej.

    Pobierz wpis w wersji pdf
    iSecure Signet

    iSecure to firma doradcza, której działalność skoncentrowana jest na zagadnieniach związanych z ochroną danych osobowychbezpieczeństwem informacji, w tym kompleksowym wdrażaniem RODO, przygotowywaniu planów działań w sytuacjach szczególnych zagrożeń, przeprowadzaniu testów penetracyjnych, wdrażaniu normy ISO 27001 i obsłudze prawnej firm działających w Internecie. Eksperci iSecure przeprowadzają także szkolenia oraz są autorami licznych publikacji i wystąpień.

    Podobne wpisy:

    Olga Skotnicka

    Jak często należy aktualizować politykę ochrony danych i jak to dokumentować?

    Polityka ochrony danych osobowych (PODO) to dokument określający zasady i procedury dotyczące zbierania, przetwarzania, przechowywania oraz zabezpieczania danych osobowych w danej organizacji. Jej głównym celem jest zapewnienie zgodności z obowiązującymi regulacjami prawnymi, w szczególności z RODO. Czy aktualizacja PODO jest istotna z punktu widzenia wymogów RODO? Aktualizacja polityki ochrony danych osobowych jest oczywiście niezwykle istotna […]

    Czytaj więcej
    Kinga Bieniek-Zawadzka

    Jak powinno wyglądać upoważnienie do przetwarzania danych osobowych?

    Upoważnienia do przetwarzania danych osobowych to standardowy temat pojawiający się podczas działań podejmowanych w ramach wdrażania przepisów prawa ochrony danych osobowych w organizacji.  Mimo dość ustrukturyzowanej formuły upoważnienia, pojawia się szereg wątpliwości w kontekście obowiązku wydania samego dokumentu czy jego ostatecznej formy. W artykule postaramy się przybliżyć najważniejsze kwestie związane z upoważnieniami i jednocześnie odpowiedzieć […]

    Czytaj więcej
    Marcin Stryszko

    Top 5 najpopularniejszych naruszeń na 5 lecie RODO

    5 lat obowiązywania RODO minęło jak jeden dzień. Większość z nas zdążyła poznać nowe przepisy i się z nimi oswoić. Znamy podstawowe definicje, wiemy, w jaki sposób i dlaczego należy chronić dane osobowe. Niewątpliwie każdy z nas słyszał też o karach – karach, które mogą nas spotkać za zaistniałe naruszenia. O samych naruszeniach napisano dużo artykułów. […]

    Czytaj więcej
    Zapis do newslettera
    Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera z materiałami edukacyjnymi, a także o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki