Bezpieczeństwo aplikacji, Bezpieczeństwo danych, Bezpieczeństwo sieci, Zarządzanie IT

Czy monitorowanie komputerów pracowników jest legalne? Aspekty prawne – RODO i inne regulacje 

Posted on by Securivy - Bezpieczeństwo i Outsourcing IT

Monitorowanie komputerów pracowników to temat, który zawsze budzi wiele pytań i wątpliwości, szczególnie w kontekście zgodności z przepisami prawa. Obecnie, pracodawcy coraz częściej stosują różne formy nadzoru, takie jak monitoring aktywności, kontrola poczty elektronicznej czy rejestracja działań na komputerach służbowych, aby chronić infrastrukturę IT firmy i zapewnić bezpieczeństwo danych.

Takie działania są jednak ściśle regulowane przez polskie prawo i przepisy europejskiego, znanego nam od lat RODO. Poniżej wyjaśnimy, jakie zasady muszą obowiązywać, aby monitorowanie odbywało się w sposób legalny i zgodny z przepisami.

Monitoring komputera pracownika – podstawy prawne i wymogi dla pracodawcy

Monitorowanie aktywności pracownika jest w Polsce legalne, lecz musi być zgodne z określonymi regulacjami.

Przepisy takie jak Kodeks pracy (przepisy określające warunki stosowania monitoringu w zakładzie pracy wprowadzono do Kodeksu pracy 25 maja 2018 roku), RODO czy ustawa o ochronie danych osobowych nakładają na pracodawcę liczne obowiązki dotyczące monitoringu komputerów.

Aby monitorowanie komputera pracownika było więc legalne, pracodawcę obowiązują zasady takie jak:

  1. Uzasadniony cel – monitorowanie musi być podparte realną potrzebą np. koniecznością ochrony mienia firmy, zapewnieniem bezpieczeństwa danych, kontrolą wydajności pracy lub innymi zgodnymi z prawem celami, które związane są z chęcią utrzymania cyberbezpieczeństwa. Warto także zaznaczyć, że element kontroli taki jak monitorowanie komputera pracownika, można stosować wedle podstawy prawnej dotyczącej nadzoru nad wywiązywaniem się z obowiązków wynikających z kodeksu, a konkretniej – z obowiązku sumiennego i starannego wykonywania pracy oraz przeznaczania czasu pracy na realizację wyznaczonych zadań – art. 100 §1 i §2 pkt 1 Kodeksu pracy.
  2. Informacja dla pracownika – pracodawca ma obowiązek poinformować pracownika o monitoringu przed jego rozpoczęciem zgodnie z art. 222 §7 Kodeksu pracy. Informacja powinna być przekazana w sposób jasny i zrozumiały, np. poprzez regulamin pracy, politykę prywatności czy umowę – warto zadbać o to, by była ona podana pracownikowi przynajmniej 2 tygodnie przed planowanym rozpoczęciem monitorowania. Więcej na ten temat możesz przeczytać w naszym artykule Monitorowanie komputera pracownika – wszystko, co musisz wiedzieć, w którym przedstawiamy wszystkie możliwe opcje informowania pracowników na temat monitorowania komputera, a także omawiamy korzyści płynące z kontroli komputera dla obu stron.
  3. Zasada proporcjonalności – ważne jest, aby zakres monitorowania był proporcjonalny do jego celu – pracodawca nie może gromadzić więcej informacji, niż jest to konieczne.
  4. Zgodność z RODO – jeśli monitoring obejmuje przetwarzanie danych osobowych (np. poprzez nagrywanie aktywności na komputerze), musi być zgodny z przepisami o ochronie danych osobowych. Pracodawca, pełniąc rolę administratora danych, musi spełniać wymogi określone w art. 13 i art. 14 RODO. Przede wszystkim należy określić podstawę prawną przetwarzania danych – najczęściej będzie to uzasadniony interes pracodawcy. Ponadto, dane uzyskane podczas monitoringu można przetwarzać wyłącznie do celów, dla których zostały zebrane, i nie dłużej niż trzy miesiące od dnia ich nagrania, chyba że stanowią dowód w postępowaniu prawnym.
  5. Zakaz nadmiernej ingerencji w prywatność – monitoring nie może nadmiernie ingerować w prywatność pracownika oraz naruszać jego dóbr osobistych (Prawo pracy oraz art. 111 Kodeksu pracy), np. pracodawca nie powinien monitorować komunikacji prywatnej pracowników, chyba że istnieje szczególne uzasadnienie. 
  6. Kontrola korespondencji elektronicznej – dopuszczalną formą kontroli pracownika jest monitoring poczty elektronicznej, pod warunkiem spełnienia wymogów wskazanych w art. 223 Kodeksu pracy. Kontrola skrzynki służbowej ma na celu zapewnienie pracy umożliwiającej pełne wykorzystanie czasu pracy oraz właściwego użytkowania udostępnionych pracownikowi narzędzi. 

Czy informacja o monitorowaniu musi być przekazana pracownikowi w formie pisemnej?

Forma przekazania informacji pracownikowi musi przede wszystkim pozwolić na późniejszą rozliczalność, tzn. musi być jasnym odnośnikiem i potwierdzeniem, że pracownik zapoznał się z treścią informacji. Najwygodniejszą formą jest więc forma pisemna, którą dodatkowo pracownik może podpisać osobiście.

Dopuszczalne formy monitoringu

Przepisy szczegółowo określają, jakie działania pracodawcy są dozwolone w ramach monitorowania. W przypadku komputerów pracowników legalne jest między innymi:

  • Monitorowanie aktywności na służbowych urządzeniach – pracodawca może rejestrować działania wykonywane na komputerze, np. odwiedzane strony internetowe, używane aplikacje czy czas pracy.
  • Kontrola poczty elektronicznej – możliwa jest weryfikacja służbowej skrzynki e-mail w celu zapewnienia przestrzegania firmowych procedur i polityk bezpieczeństwa. Należy jednak pamiętać o zakazie naruszania tajemnicy korespondencji.
  • Rejestracja podłączanych urządzeń zewnętrznych – pracodawca może monitorować, czy pracownik podłącza do służbowego komputera urządzenia takie jak pendrive’y czy dyski zewnętrzne, aby zapobiec nieautoryzowanemu kopiowaniu danych.

Monitoring komputera pracownika – niedozwolone praktyki

Praktyki takie jak nagrywanie dźwięku otoczenia, rejestracja obrazu z kamerki internetowej bez zgody pracownika czy instalowanie oprogramowania monitorującego na prywatnych urządzeniach pracowników to zabronione prawnie czynności.

Sankcje za nielegalne monitorowanie

Nieprzestrzeganie zasad monitorowania pracowników może mieć poważne konsekwencje dla pracodawcy. Naruszenie przepisów RODO może skutkować nałożeniem wysokich kar finansowych przez organ nadzorczy. Ponadto pracownik, którego prawa zostały naruszone, może domagać się odszkodowania. W skrajnych przypadkach, jeśli monitoring narusza dobra osobiste pracownika, może być także podstawą do roszczeń w postępowaniu cywilnym, dlatego tak ważne jest, by monitorowanie aktywności pracowników realizowane było w dokładnym zastosowaniem się do warunków. To zadanie można jednak ułatwić w prosty sposób – poprzez wybór oprogramowania do monitorowania komputera pracownika spełniającego wszystkie wymogi prawne.

Program do monitorowania komputera zgodny z prawem – Syteca (dawniej Ekran System)

Syteca to oprogramowanie do monitorowania komputera, które pozwala nie tylko mierzyć efektywność pracowników i obserwować ich działania w czasie rzeczywistym, ale także chronić cenne zasoby firmy przed szkodliwymi działaniami wewnątrz organizacji, jak i atakami zewnętrznymi.

Komputer pracownika to niejednokrotnie łatwy cel hakerów, którzy potrafią przeprowadzać skomplikowane akcje wykradania informacji na danym komputerze w firmie, ale także stosować bardzo podstawowe techniki ataków, których uczestnikami stają się pracownicy – np. ataki socjotechniczne – doskonałym przykładem może być phishing, który stoi na czele zagrożeń bezpieczeństwa wywoływanych przez nieświadomych pracowników, a w rezultacie może prowadzić do bardzo poważnych wycieków danych.

Zgodny z prawem program do monitorowania komputera pracownika i innych urządzeń służbowych taki jak Syteca, to więc nie tylko doskonały pomysł na podgląd aktywności użytkowników lub mierzenie produktywności zespołu w swojej firmie, ale także narzędzie znacząco podnoszące cyberbezpieczeństwo pracy biurowej i pracy zdalnej, która narażona jest w obecnych czasach na wiele zagrożeń wewnętrznych i zewnętrznych.

Syteca posiada dwie opcje wdrożenia – Syteca SaaS (model wdrożenia w chmurze) oraz Syteca On-Premises (model wdrożenia z własną infrastrukturą serwerową). Wśród podstawowych korzyści pozwalających pracodawcy na wgląd w pracę i bezpieczeństwo danych na firmowych komputerach znajdują się:

Jeśli zastanawiasz się nad wdrożeniem w swojej firmie rozwiązania, które wesprze procesy biznesowe poprzez możliwości legalnego monitoringu komputera, a przy tym zabezpieczy dostęp do poufnych informacji pochodzących z komputerów służbowych, Syteca to wybór, który zapewni ci realizację powyższych celów w zgodzie z wymogami prawnymi.

Wraz z Syteca:

  • skutecznie zmierzysz zadania wykonywane w czasie pracy – funkcja raportów i audytu
  • nagrasz aktywność użytkowników komputerów służbowych w formie zrzutów ekranu – funkcja nagrywania ekranu i zapisu do bezpiecznego pliku
  • zobaczysz co pracownicy robią w godzinach pracy w czasie rzeczywistym – funkcja Podglądu Live
  • wykryjesz potencjalnie szkodliwe działania w obszarze aktywności pracowników – funkcja alertów
  • zapanujesz nad dostępem do wrażliwych zasobów i informacji

Podsumowanie

Monitorowanie komputerów pracowników jest w Polsce legalne, pod warunkiem spełnienia ściśle określonych wymogów prawnych. Kluczowe jest zapewnienie transparentności i poinformowanie pracowników o stosowanych środkach nadzoru. Pracodawca musi działać zgodnie z zasadami proporcjonalności, poszanowania prywatności oraz ochrony danych osobowych, a wszelkie formy monitorowania powinny być uzasadnione i służyć realizacji konkretnych celów.

Dzięki przestrzeganiu tych zasad możliwe jest osiągnięcie równowagi między interesami pracodawcy a prawami pracowników. Wybierając narzędzie takie jak Syteca, zapewnisz swojej firmie legalne rozwiązania do monitorowania aktywności pracowników, a zarazem wpłyniesz w znaczący sposób na wzrost cyberbezpieczeństwa w firmie.

Skontaktuj się z nami, aby omówić możliwości wdrożenia na bezpłatnej prezentacji rozwiązania.

Zarezerwuj spotkanie

Wybierz dogodny termin
5/5 - (1 vote)
Paweł Chudziński
Securivy - Bezpieczeństwo i Outsourcing IT

Jesteśmy młodym zespołem, dla którego priorytetem jest bezpieczeństwo oraz satysfakcja klienta. Securivy to innowacyjne podejście, elastyczność oraz powiew świeżości w świecie IT.