Firma logistyczna z Mazowsza wdrożyła monitoring GPS pojazdów i kamery w magazynie. Nikt nie poinformował pracowników. Po kontroli UODO pracodawca otrzymał decyzję nakazującą usunięcie skutków naruszenia i zapłatę kary administracyjnej. Cały proces trwał osiem miesięcy – i kosztował więcej niż wdrożenie prawidłowych procedur od początku.

Monitoring pracowników jest dopuszczalny w polskim prawie pracy, ale wymaga spełnienia ściśle określonych warunków wynikających z Kodeksu pracy oraz rozporządzenia RODO (Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679). Pracodawca musi poinformować pracowników przed uruchomieniem monitoringu – najpóźniej 2 tygodnie przed jego wdrożeniem. Brak tej procedury naraża na karę do 20 mln EUR lub 4% rocznego obrotu globalnego.

Ten alert wyjaśnia, kogo dotyczą obowiązki, jakie działania są wymagane natychmiast oraz gdzie kryją się najczęstsze pułapki. Dotyczy każdego pracodawcy – niezależnie od liczby zatrudnionych.

Jakie formy monitoringu są dopuszczalne i kogo dotyczą przepisy?

Przepisy Kodeksu pracy wprost wymieniają formy monitoringu, które pracodawca może stosować. Są to: monitoring wizyjny (kamery), monitoring poczty elektronicznej, monitoring aktywności na urządzeniach służbowych oraz monitoring lokalizacji pojazdów. Każda z tych form wymaga odrębnego uzasadnienia i odrębnej procedury informacyjnej.

Obowiązki dotyczą wszystkich pracodawców – nie ma progu zatrudnienia. Firma zatrudniająca 5 osób i korporacja z 5 000 pracowników podlegają tym samym regułom. W praktyce – wiele małych firm o tym zapomina – UODO prowadzi postępowania wobec podmiotów różnej wielkości, w tym jednoosobowych działalności zatrudniających pracowników na umowę o pracę.

Podstawa prawna to art. 22(2) i art. 22(3) Kodeksu pracy w połączeniu z art. 6 ust. 1 lit. c RODO (obowiązek prawny) lub art. 6 ust. 1 lit. f RODO (uzasadniony interes). Wybór podstawy ma znaczenie praktyczne: uzasadniony interes wymaga przeprowadzenia testu równoważenia interesów i jego udokumentowania. Brak dokumentacji to błąd, który UODO wykrywa podczas każdej kontroli.

Pracodawcy zatrudniający pracowników z zagranicy muszą pamiętać o dodatkowym wymiarze. Cudzoziemiec zatrudniony na podstawie zezwolenia na pracę lub karty pobytu podlega tym samym regułom monitoringu co obywatel polski. Obowiązek informacyjny należy spełnić w języku zrozumiałym dla pracownika – co oznacza konieczność tłumaczenia dokumentów.

Pracownicy delegowani z innych krajów UE również podlegają polskim przepisom o monitoringu przez cały czas świadczenia pracy w Polsce. Szczegółowe zasady dotyczące pracowników delegowanych i certyfikatów A1 warto skonsultować osobno, ale obowiązek informacyjny o monitoringu jest bezwzględny od pierwszego dnia.

Jakie obowiązki pracodawca musi wypełnić przed uruchomieniem monitoringu?

Pracodawca ma obowiązek poinformować pracowników o zamiarze wprowadzenia monitoringu co najmniej 2 tygodnie przed jego uruchomieniem. Informacja musi zawierać: cel monitoringu, zakres, sposób stosowania oraz okres przechowywania danych. Brak choćby jednego z tych elementów stanowi naruszenie RODO.

Lista działań wymaganych przed uruchomieniem monitoringu:

  • Wprowadzenie lub aktualizacja regulaminu pracy – monitoring musi być w nim opisany.
  • Poinformowanie pracowników na piśmie co najmniej 14 dni przed startem.
  • Oznaczenie obszarów objętych monitoringiem wizyjnym – tablice informacyjne przy wejściach.
  • Sporządzenie lub aktualizacja rejestru czynności przetwarzania (art. 30 RODO).
  • Przeprowadzenie oceny skutków dla ochrony danych (DPIA) – obowiązkowe przy monitoringu ciągłym lub lokalizacyjnym.

Monitoring poczty elektronicznej podlega szczególnym ograniczeniom. Pracodawca może kontrolować służbową skrzynkę pocztową, ale nie może naruszać tajemnicy korespondencji prywatnej. W praktyce oznacza to konieczność wdrożenia polityki wyraźnie zakazującej używania służbowej poczty do celów prywatnych – bez takiej polityki pracodawca traci możliwość skutecznej obrony przed UODO.

Okres przechowywania nagrań z monitoringu wizyjnego wynosi co do zasady maksymalnie 3 miesiące. Dłuższe przechowywanie jest dopuszczalne tylko wtedy, gdy nagrania stanowią dowód w postępowaniu. Pracodawcy często przechowują nagrania przez rok lub dłużej – bez podstawy prawnej. To jeden z najczęstszych błędów wykrywanych przez UODO.

Sygnaliści zgłaszający naruszenia RODO w miejscu pracy korzystają z ochrony na podstawie ustawy z 14 czerwca 2024 r. o ochronie sygnalistów. Zgodnie z art. 8 ustawy o sygnalistach pracodawca zatrudniający co najmniej 50 osób musi posiadać wewnętrzny kanał zgłoszeń. Pracownik, który zgłosi nieprawidłowości w zakresie monitoringu, nie może być z tego powodu zwolniony ani szykanowany.

Koszty postępowania sądowego w razie sporu z pracownikiem o naruszenie prywatności mogą być znaczące. Zasady odzyskiwania kosztów w polskim postępowaniu cywilnym nie gwarantują pełnego zwrotu – nawet wygrywając sprawę, pracodawca może ponieść istotne wydatki procesowe.

Co zrobić teraz – lista kontrolna dla pracodawcy

Naruszenia przepisów o monitoringu mają charakter trwały. Każdy dzień działania monitoringu bez spełnienia wymogów formalnych to kolejne naruszenie RODO. UODO może wszcząć postępowanie z urzędu – bez skargi pracownika – i nałożyć karę finansową oraz nakazać zaprzestanie przetwarzania danych. Zaprzestanie oznacza wyłączenie systemu monitoringu do czasu wdrożenia prawidłowych procedur.

Mikroprzedsiębiorcy z przychodem poniżej PLN 10 000 miesięcznie nie są zwolnieni z obowiązków RODO – zwolnienie to dotyczy wyłącznie KSeF. Prawo do prywatności pracownika nie zależy od wielkości pracodawcy.

Pracodawcy zatrudniający pracowników na podstawie art. 25(1) § 1 k.p. w ramach umów terminowych (łącznie do 33 miesięcy, maksymalnie 3 umowy) muszą zadbać, by obowiązek informacyjny o monitoringu był spełniony przy każdym nowym zatrudnieniu – nie wystarczy jednorazowe poinformowanie sprzed kilku lat.

Konkretna sytuacja Państwa firmy może wymagać natychmiastowego działania. Każdy dzień zwłoki utrwala naruszenie i zwiększa ryzyko kary, której cofnięcie jest nieodwracalnie utrudnione po wszczęciu postępowania przez UODO.

Jeśli Państwa spółka stosuje monitoring pracowników bez aktualnej dokumentacji RODO lub bez spełnienia obowiązku informacyjnego – przeprowadzimy audyt zgodności, przygotujemy regulamin i dokumentację DPIA oraz wdrożymy procedury informacyjne: info@kordeckipartners.com.

Często zadawane pytania

P: Czy pracodawca może monitorować pracowników zdalnych – np. śledzić aktywność na ekranie komputera?

O: Tak, ale wyłącznie na urządzeniach służbowych i po spełnieniu wszystkich wymogów formalnych – w tym aktualizacji regulaminu pracy i pisemnego poinformowania pracownika co najmniej 14 dni przed wdrożeniem. Monitoring aktywności na ekranie jest szczególnie ingerujący w prywatność, dlatego wymaga przeprowadzenia oceny skutków dla ochrony danych (DPIA) i udokumentowania testu równoważenia interesów. Pracodawca nie może monitorować urządzeń prywatnych pracownika – nawet jeśli pracownik korzysta z nich do celów służbowych.

P: Ile wynosi maksymalna kara UODO za nielegalne monitorowanie pracowników i czy grozi ona każdej firmie?

O: Urząd Ochrony Danych Osobowych może nałożyć karę do 20 mln EUR lub – jeśli jest wyższa – do 4% całkowitego rocznego obrotu globalnego przedsiębiorstwa. Kara grozi każdemu pracodawcy, niezależnie od liczby pracowników i formy prawnej. W praktyce UODO stosuje kary proporcjonalne do skali naruszenia, ale nawet małe firmy otrzymywały decyzje nakazujące usunięcie naruszeń połączone z karą finansową.

P: Czy zgoda pracownika na monitoring wystarczy jako podstawa prawna przetwarzania danych?

O: Zgoda pracownika jest w tym kontekście problematyczna i co do zasady niewystarczająca. UODO i Europejska Rada Ochrony Danych wskazują, że zgoda w stosunku pracy rzadko jest dobrowolna – pracownik obawia się konsekwencji odmowy. Prawidłową podstawą jest albo obowiązek prawny (artykuł 6 ustęp 1 litera c RODO), albo uzasadniony interes pracodawcy (artykuł 6 ustęp 1 litera f RODO) – ten drugi wymaga przeprowadzenia i udokumentowania testu równoważenia interesów.

KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do prawa pracy i ochrony danych osobowych. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.

Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.