Monitorowanie pracownika w systemach informatycznych

Pracodawca ma prawo monitorować pracownika podczas wykonywania przez niego obowiązków służbowych.
Kodeks Pracy umożliwia stosowanie monitoringu w sytuacji, gdy jest to niezbędne do zapewnienia bezpieczeństwa pracowników, ochrony mienia, kontroli produkcji lub zachowania tajemnicy informacji. Rozporządzenie Ministra Pracy i Polityki Socjalnej z dnia 01.12.1998r. wskazuje, że kontrola jakościowa i ilościowa pracownika nie może być realizowana bez jego wiedzy. Z kolei wytyczne Europejskiej Rady Ochrony Danych nakładają na administratora obowiązek wyboru rozwiązań technicznych z zastosowaniem technologii przyjaznych prywatności.
Jak wynika z obowiązujących przepisów, pracodawca jest zobowiązany do informowania pracownika o wprowadzeniu monitoringu, nie później niż dwa tygodnie przed jego uruchomieniem.

Monitoring wizyjny

Pracodawca jest zobowiązany do poinformowania pracowników o obszarach objętych monitorowaniem. Dodatkowo, jako administrator danych musi zrealizować obowiązek informacyjny wynikający z art. 13 RODO.

Miejsca objęte monitorowaniem powinny zostać oznaczone tablicami informującymi o zainstalowanym monitoringu. Mogą być stosowane dodatkowo piktogramy informujące o stosowaniu kamer.

Monitoring wizyjny nie może nagrywać dźwięku, oraz rejestrować miejsc, takich jak łazienki, szatnie, czy pomieszczenia socjalne, chyba że stosowanie monitoringu w tych pomieszczeniach jest niezbędne do realizacji określonego celu i nie naruszy to godności oraz innych dóbr osobistych pracownika.

Monitoring poczty e-mail

Firmowa poczta e-mail jest własnością pracodawcy. Należy ją traktować jako narzędzie pracy przekazane pracownikowi. Pracodawca może wprowadzić kontrolę służbowej poczty pracownika, jako element kontroli wykorzystania czasu pracy oraz właściwego użytkowania udostępnionych narzędzi pracy. Monitoring poczty elektronicznej nie może naruszać tajemnicy korespondencji oraz innych dóbr osobistych pracownika. W związku z tym należy przyjąć zasadę, że w przypadku rozpoznania prywatnej wiadomości e-mail, pracodawca nie może zapoznać się z jej treścią.

Monitoring sieci

Analiza ruchu sieciowego umożliwia testowanie i kontrolę bezpieczeństwa infrastruktury informatycznej firmy. Umożliwia monitorowanie danych przychodzących oraz wychodzących. Wyniki testów pomagają w wykryciu ataków sieciowych, infekcji komputera oraz analizę powłamaniową.

Pracodawca może sprawdzać i rejestrować strony internetowe odwiedzane przez pracownika. Nie może jednak rejestrować i wykorzystywać danych wprowadzanych przez pracownika. Możliwe jest również gromadzenie statystyk czasu pracy przy komputerze.

W przypadku stwierdzenia naruszenia bezpieczeństwa danych osobowych pracodawca, będący administratorem danych jest zobowiązany do dokonania zgłoszenia incydentu do Urzędu Ochrony Danych Osobowych w przeciągu 72 godzin od rozpoznania wycieku informacji.

Należy również pamiętać, że gromadzone dane mogą przekraczać zakres danych, do których jest uprawniony pracodawca. W związku z tym pracodawca jest zobowiązany do rezygnacji z nadmiarowych danych zbieranych podczas monitorowania sieci.