iSecure logo
  • pl
  • en
    • Blog

    Czy pracodawca może kontrolować skrzynkę pocztową pracownika?

    Maciej Łukaszewicz
    Kategorie

    Każdy z nas wykonując pracę na rzecz swojego pracodawcy, bez względu na formę zatrudnienia, korzysta ze skrzynki pocztowej. Skrzynka pocztowa i domena w większości przypadków dostarczana jest przez pracodawcę. Co do zasady, służbowa skrzynka pocztowa jest wykorzystywana w celu realizacji bieżących obowiązków służbowych przez pracownika. Korespondencja i komunikacja mailowa są dzisiaj jednym z najpowszechniejszych form komunikacji zawodowej. Korzystanie ze służbowej skrzynki pocztowej, nad którą co do zasady kontrolę posiada pracodawca, zawsze rodzi wątpliwości czy nadzorowanie, monitorowanie skrzynki służbowej stoi w zgodzie z prawem do prywatności.

     

    Ze względu na ochronę prywatności pracownika, a także ze względu na przepisy ustawy Kodeks Pracy (dalej również jako „KP”) oraz RODO powstaje pytanie, czy pracodawca posiada w ogóle możliwość wglądu do służbowej skrzynki pocztowej pracownika. Na to pytanie należy odpowiedzieć twierdząco. Pracodawca ma możliwość kontroli służbowej skrzynki pocztowej pracownika. Dla zapewnienia prawa do prywatności pracowników istnieją jednak pewne ograniczenia prawne, o których piszę w dalszej części tekstu.

     

    Obowiązki wynikające z Kodeksu Pracy

    Kodeks Pracy w swoich postanowieniach wprost wskazuje na taką możliwość, poprzez tzw. monitoring poczty elektronicznej (art. 223 § 1). Jako pracodawca, możemy wprowadzić wskazane formy monitoringu w następujących celach wskazanych w KP:

    1. wprowadzenie monitoringu jest niezbędne do zapewnienia organizacji pracy umożliwiającej pełne wykorzystanie czasu pracy oraz
    2. właściwego użytkowania udostępnionych pracownikowi narzędzi pracy.

    Oba wskazane cele nie są do końca precyzyjne i może mieścić się w nich wiele różnych czynności. Przez właściwe użytkowanie udostępnionych narzędzi pracy należy rozumieć formę kontroli nad narzędziami takimi jak komputer, telefon, samochód itd., które udostępniane są do wykonywania obowiązków służbowych. Kontrolując dostęp do skrzynki pocztowej jako pracodawca weryfikujemy, czy pracownik stale i regularnie wykonuje swoje obowiązki służbowe.

    Przez monitoring poczty elektronicznej należy rozumieć stałą formę nadzoru, kontroli służbowej skrzynki pocztowej. Co istotne, za monitoring nie uznamy również samego dostępu pracodawcy do skrzynki pocztowej pracownika. Podobnie będzie w przypadku, gdy zastępujemy pracownika w czasie jego nieobecności i odpowiadamy na wiadomości mailowe w celu zapewnienia stałej realizacji usług. Takie uprawnienia nie wynikają z przepisów o monitoringu, a z nadzorczego charakteru pracodawcy.  Uzasadnienie te również znajdziemy w poglądach doktryny i ekspertów z dziedziny prawa pracy.

    Monitoring poczty nie może jednak naruszać tajemnicy korespondencji oraz innych dóbr osobistych pracownika. W praktyce oznacza to, że pracodawca nie jest uprawniony do weryfikacji i przeglądania wiadomości mailowych o charakterze prywatnym. Jeżeli zdarzy się sytuacja, że osoba bliska pracownikowi wyśle do niego wiadomość na służbową skrzynkę pocztową związaną ze sprawami prywatnymi tj. odbiór dziecka z przedszkola – pracodawca nie może odczytać takiej wiadomości. Należy pamiętać, że tajemnica korespondencji jest określona jako jedno z dóbr osobistych wskazanych w art. 23 Kodeksu Cywilnego, dodatkowo chroniona jest również w samej Konstytucji RP. Zakaz ten jest więc bezwzględny.

     

    Obowiązki wynikające z RODO

    Pracodawca nie jest wyłącznie „związany” reżimem prawnym i ograniczeniami zawartymi w Kodeksie Pracy. Prowadzenie monitoringu bez względu na jego formę związane jest w większości przypadków z przetwarzaniem danych osobowych. Przetwarzanie danych osobowych uregulowane jest w rozporządzeniu o ochronie danych osobowych („RODO”). I ten reżim prawny również powinien być przestrzegany przez pracodawcę stosującego monitoring. Oznacza to, że pracodawca jako administrator danych samodzielnie ustala cele i sposoby przetwarzania danych osobowych. W tym kontekście wydaje się, że może wychodzić również poza cele wskazane w Kodeksie Pracy. W głównej mierze stosując monitoring poczty elektronicznej lub też inną formę monitoringu, należy pamiętać o zasadach RODO przewidzianych w art. 5, w tym m.in.:

    1. Legalności – musimy być w stanie wykazać zgodność z przepisami prawa wprowadzając daną formę monitoringu.
    2. Minimalizacji – zbierać tylko minimalny zakres danych. W przypadku przeglądania prywatnej korespondencji pracownika zdecydowanie naruszymy zasadę minimalizacji danych.
    3. Integralność i poufności – dostęp do skrzynki pocztowej pracownika powinna mieć bardzo wąska i ograniczona liczba osób (przełożeni, zarządzający).

    Wprowadzając monitoring poczty elektronicznej na podstawie RODO jesteśmy zobligowani w szczególności do:

    1. spełnienia obowiązku informacyjnego zgodnie z art. 13 RODO.
    2. ustalenia okresu przechowywania danych z monitoringu.
    3. ewentualnego zawarcia umowy powierzenia z zewnętrznymi podmiotami mającymi dostęp do danych z monitoringu, np. dostawcy IT, dostawcy domeny pocztowej.

     

    Okres przechowywania danych

    Przepisy KP nie określają maksymalnego okresu przechowywania danych z monitoringu poczty elektronicznej oraz innych form monitoringu. Okres przechowywania danych ustala każdorazowo pracodawca mając na uwadze zasadę ograniczenia przechowywania danych z RODO – dane osobowe powinny być przetwarzane do momentu istnienia celu przetwarzania. Pracodawca powinien ustalić okres retencji danych z monitoringu poczty lub innych form monitoringu w wewnętrznych politykach retencji danych. Dodatkowo o okresie przechowywania danych należy poinformować w regulaminie pracy (lub obwieszczeniu) oraz klauzuli informacyjnej.

    Pobierz wpis w wersji pdf
    iSecure Signet

    iSecure to firma doradcza, której działalność skoncentrowana jest na zagadnieniach związanych z ochroną danych osobowychbezpieczeństwem informacji, w tym kompleksowym wdrażaniem RODO, przygotowywaniu planów działań w sytuacjach szczególnych zagrożeń, przeprowadzaniu testów penetracyjnych, wdrażaniu normy ISO 27001 i obsłudze prawnej firm działających w Internecie. Eksperci iSecure przeprowadzają także szkolenia oraz są autorami licznych publikacji i wystąpień.

    Podobne wpisy:

    Księgi akcyjne
    Olga Jaworowska

    Kopiowanie dokumentów publicznych w świetle nowych regulacji

    Na parę dni przed 12-tym lipca, czyli wejściem w życieustawy z dnia 22 listopada 2018 r. o dokumentach publicznych, w Internecie zawrzało od komentarzy określających rozpoczęcie obowiązywania jej zapisów jako początku całkowitego zakazu kserowania wskazanych ustawowo dokumentów, w tym dowodu osobistego, czy dokumentu prawa jazdy. Informacje, które początkowo zostały przez media podane, po zapoznaniu się […]

    Czytaj więcej
    Nina Zacharska

    Lex Kamilek a nowe obowiązki z zakresu ochrony danych osobowych w hotelach

    Za dwa tygodnie (15 sierpnia) minie termin dostosowania się do wymogów tzw. ustawy Kamilka. Tymczasem wielu właścicieli obiektów noclegowych nie wie, jak ma wdrożyć nowe przepisy, co będzie podlegać kontroli i jak sprawdzać pokrewieństwo gości z małoletnimi. Gospodarze nie wiedzą, jak pytać, a rodzice nie chcą odpowiadać.

    Czytaj więcej
    Paweł Wojciechowski

    Trendy w ochronie danych osobowych – na co dziś zwracają uwagę firmy i regulatorzy?

    Ochrona danych osobowych to już nie tylko compliance, ale również element budowania zaufania, przewagi konkurencyjnej i odpowiedzialnego zarządzania ryzykiem. W ostatnich latach, a szczególnie miesiącach, ochrona danych osobowych przeszła istotną transformację. Przestała być traktowana wyłącznie jako wymóg regulacyjny, który trzeba „odhaczyć” w ramach działań compliance. Dziś dane osobowe – zwłaszcza w środowisku cyfrowym – są […]

    Czytaj więcej
    Zapis do newslettera
    Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera z materiałami edukacyjnymi, a także o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki