Firma logistyczna z Mazowsza wdrożyła monitoring GPS pojazdów i kamery w magazynie. Rok później inspektor Urzędu Ochrony Danych Osobowych (UODO) zakwestionował całą procedurę – brakowało regulaminu, informacji dla pracowników i podstawy prawnej w układzie zbiorowym. Koszty naprawy przewyższyły koszty samego wdrożenia systemu.
Monitoring pracowników jest w Polsce dozwolony, ale wymaga spełnienia ściśle określonych warunków wynikających z Kodeksu pracy (k.p.) i rozporządzenia RODO. Pracodawca musi przed uruchomieniem monitoringu wprowadzić regulamin lub układ zbiorowy, poinformować pracowników z co najmniej 2-tygodniowym wyprzedzeniem i ograniczyć zakres danych do niezbędnego minimum. Brak któregokolwiek z tych elementów naraża pracodawcę na sankcje UODO sięgające 20 milionów euro lub 4% globalnego obrotu.
Przewodnik prowadzi przez cztery etapy: podstawy prawne i rodzaje monitoringu, procedurę wdrożenia krok po kroku, typowe błędy z trzech scenariuszy biznesowych, oraz FAQ z najczęstszymi pytaniami klientów. Na końcu każdego etapu znajdą Państwo checklistę kontrolną.
Jakie rodzaje monitoringu pracowników dopuszcza polskie prawo?
Kodeks pracy wyróżnia kilka form monitoringu. Każda wymaga odrębnej podstawy i odrębnego poinformowania pracowników. Pracodawca nie może stosować jednej ogólnej klauzuli dla wszystkich form jednocześnie.
Monitoring wizyjny (kamery CCTV) jest dopuszczalny, gdy jest niezbędny do zapewnienia bezpieczeństwa pracowników, ochrony mienia lub kontroli produkcji. Nie może obejmować pomieszczeń sanitarnych, szatni, stołówek ani palarni – chyba że zakładowe organizacje związkowe wyrażą na to zgodę w wyjątkowych okolicznościach. Nagrania przechowuje się maksymalnie przez 3 miesiące, a jeśli służą jako dowód w postępowaniu – do czasu prawomocnego zakończenia sprawy.
Monitoring poczty elektronicznej służy kontroli wykonywania pracy. Nie może naruszać tajemnicy korespondencji ani dóbr osobistych pracownika. W praktyce oznacza to zakaz czytania prywatnych wiadomości, nawet wysłanych ze służbowego adresu, jeśli pracodawca dopuścił prywatne użytkowanie poczty.
Monitoring GPS pojazdów służbowych jest dozwolony, gdy pojazdy są używane w celach służbowych. Śledzenie lokalizacji pracownika poza godzinami pracy wymaga dodatkowej podstawy – zazwyczaj jest niedopuszczalne. UODO wielokrotnie kwestionował systemy działające całą dobę.
Inne formy – monitoring internetu, logowania do systemów IT, kart dostępu – są dopuszczalne na podstawie art. 223 § 4 k.p. jako „inne formy monitoringu". Każda z nich wymaga wskazania celu, zakresu i sposobu zastosowania w regulaminie pracy lub układzie zbiorowym. Brak takiego zapisu to najczęstszy błąd, który UODO wykrywa podczas kontroli w firmach z Warszawy i Krakowa.
Jak wdrożyć monitoring zgodnie z RODO – procedura krok po kroku?
Wdrożenie monitoringu to procedura 5-etapowa. Każdy etap ma konkretny termin i dokument do przygotowania. Pominięcie etapu nie jest błędem formalnym – to naruszenie przepisów k.p. i RODO, które może skutkować odpowiedzialnością pracodawcy.
Etap 1 – analiza celów i proporcjonalności. Pracodawca musi zidentyfikować konkretny cel monitoringu. „Ogólna kontrola pracowników" nie jest celem wystarczającym. RODO wymaga zasady minimalizacji danych – zbieramy tylko to, co niezbędne do osiągnięcia wskazanego celu. Analiza powinna trwać od 3 do 5 dni roboczych i zakończyć się pisemnym uzasadnieniem.
Etap 2 – zmiana regulaminu lub układu zbiorowego. Cel, zakres i sposób stosowania monitoringu muszą znaleźć się w regulaminie pracy lub układzie zbiorowym. Jeśli pracodawca nie jest objęty układem, wystarczy regulamin. Zmiana regulaminu wymaga konsultacji ze związkami zawodowymi (jeśli działają w zakładzie) – czas na konsultacje to co najmniej 14 dni.
Etap 3 – informacja dla pracowników. Pracownicy muszą być poinformowani o monitoringu co najmniej 2 tygodnie przed jego uruchomieniem. Informacja powinna obejmować: cel, zakres, sposób i okres stosowania monitoringu. Nowi pracownicy otrzymują informację przed dopuszczeniem do pracy – nie po podpisaniu umowy.
Etap 4 – klauzula informacyjna RODO. Niezależnie od informacji z k.p., pracodawca musi spełnić obowiązek informacyjny z art. 13 RODO. Klauzula powinna wskazać administratora danych, podstawę prawną przetwarzania, okres przechowywania nagrań i prawa osób, których dane dotyczą. Brak klauzuli to odrębne naruszenie RODO.
Etap 5 – ocena skutków dla ochrony danych (DPIA). Jeśli monitoring jest systematyczny i na dużą skalę, pracodawca powinien przeprowadzić ocenę skutków (Data Protection Impact Assessment). Dotyczy to szczególnie kamer w przestrzeni publicznej, monitoringu GPS floty pojazdów powyżej 10 sztuk lub monitoringu poczty w firmie zatrudniającej ponad 250 osób.
- Sporządź pisemne uzasadnienie celu monitoringu przed zakupem sprzętu
- Zaktualizuj regulamin pracy i uzyskaj potwierdzenie konsultacji ze związkami
- Przekaż pracownikom informację pisemną co najmniej 14 dni przed uruchomieniem
- Przygotuj klauzulę informacyjną RODO i umieść ją w widocznym miejscu
- Oceń konieczność przeprowadzenia DPIA przed wdrożeniem systemu
Łączny czas przygotowania prawidłowego wdrożenia wynosi od 3 do 6 tygodni. Firmy, które pomijają ten harmonogram, ryzykują nie tylko sankcje UODO, ale też nieważność postępowań dyscyplinarnych opartych na nagraniach zebranych niezgodnie z prawem.
Kancelarie prawa pracy regularnie obserwują sytuacje, w których pracodawca dysponuje nagraniem potwierdzającym kradzież mienia – ale nie może go użyć jako dowodu, bo monitoring wdrożono bez regulaminu. To nieodwracalna strata materiału dowodowego.
Jeśli Państwa firma planuje wdrożenie monitoringu lub weryfikuje zgodność istniejącego systemu, konkretna ocena sytuacji wymaga analizy dokumentacji – pominięcie tego kroku zamyka drogę do skutecznej obrony w postępowaniu przed UODO. Skontaktuj się z naszym zespołem: info@kordeckipartners.com.
Trzy scenariusze biznesowe – gdzie pracodawcy najczęściej popełniają błędy?
Błędy we wdrożeniu monitoringu mają konkretny wzorzec. Zależą od branży, wielkości firmy i rodzaju stosowanego nadzoru. Poniżej trzy scenariusze, które w praktyce generują największą liczbę naruszeń zgłaszanych do UODO.
Scenariusz 1 – firma produkcyjna. Zakład produkcyjny z Małopolski zainstalował kamery na hali produkcyjnej i w szatniach – te drugie bez zgody związków zawodowych. Monitoring uruchomiono bez zmiany regulaminu. Pracownik zgłosił skargę do UODO po rozwiązaniu umowy o pracę. Postępowanie wyjaśniające trwało 8 miesięcy. Pracodawca musiał usunąć kamery z szatni i zapłacić koszty obsługi prawnej przekraczające 30 000 PLN. Nagrania z hali zostały zakwestionowane jako dowód w sprawie o kradzież.
Scenariusz 2 – firma IT. Spółka technologiczna z Trójmiasta wdrożyła monitoring aktywności ekranu i logowań do systemów dla pracowników zdalnych. Cel był uzasadniony – weryfikacja dostępu do danych klientów. Błąd polegał na braku klauzuli informacyjnej RODO i monitorowaniu czasu aktywności poza godzinami pracy. Dwóch pracowników złożyło skargi powołując się na naruszenie prywatności. UODO nakazał ograniczenie monitoringu do godzin pracy i uzupełnienie dokumentacji w terminie 30 dni.
Scenariusz 3 – inwestor zagraniczny. Dla inwestorów zagranicznych wchodzących na rynek polski monitoring pracowników to szczególne wyzwanie. Standardy stosowane w Niemczech, USA czy Ukrainie często nie spełniają wymogów polskiego k.p. i RODO. Firma z kapitałem niemieckim otworzyła oddział w Warszawie i przeniosła globalną politykę monitoringu IT bez dostosowania do polskich przepisów. Pracownicy nie zostali poinformowani zgodnie z art. 222 § 7 k.p. – co oznacza brak 2-tygodniowego wyprzedzenia. Inspekcja Pracy zakwestionowała procedurę podczas rutynowej kontroli w październiku 2024 roku.
Wspólny mianownik wszystkich trzech scenariuszy to brak dokumentacji przed uruchomieniem systemu. Pracodawca planuje monitoring jako decyzję techniczną, nie prawną. To błąd kosztujący czas, pieniądze i wiarygodność w postępowaniach pracowniczych.
Jakie są obowiązki pracodawcy wobec sygnalistów a monitoring?
Monitoring i ochrona sygnalistów to dwa obszary, które coraz częściej się przecinają. Pracodawca stosujący monitoring musi pamiętać, że ustawa o sygnalistach z 14 czerwca 2024 r. – obowiązująca od 25 września 2024 r. – nakłada odrębne obowiązki dotyczące poufności zgłoszeń.
Zgodnie z art. 8 ustawy o sygnalistach, każdy pracodawca zatrudniający co najmniej 50 pracowników musi wdrożyć wewnętrzny kanał zgłoszeń. Kanał musi zapewniać poufność tożsamości sygnalisty. Monitoring poczty elektronicznej lub systemów IT nie może być stosowany w sposób, który umożliwia identyfikację osoby składającej anonimowe zgłoszenie.
W praktyce oznacza to, że pracodawca powinien wyłączyć spod monitoringu skrzynkę mailową lub platformę służącą do przyjmowania zgłoszeń sygnalistów. Jeśli pracodawca korzysta z zewnętrznego narzędzia do zgłoszeń, musi upewnić się, że logi systemowe monitorowane przez dział IT nie ujawnią tożsamości zgłaszającego.
Art. 54 ustawy o sygnalistach przewiduje grzywnę do 1 080 000 PLN i do 3 lat pozbawienia wolności za działania odwetowe wobec sygnalistów. Jeśli monitoring zostanie użyty do identyfikacji sygnalisty – nawet nieumyślnie – pracodawca może odpowiadać za działanie odwetowe. To ryzyko, o którym wiele działów HR nie wie.
Zagadnienie monitoringu w kontekście mobbingu i ochrony pracowników jest szerzej omówione w analizie dotyczącej mobbingu w miejscu pracy – warto zapoznać się z tym materiałem przy projektowaniu polityki nadzoru.
Konkretna sytuacja Państwa firmy wymaga oceny, czy istniejący system monitoringu jest kompatybilny z kanałem zgłoszeń sygnalistów. Brak tej kompatybilności może nieodwracalnie podważyć skuteczność całego programu compliance. Jeśli Państwa spółka zatrudnia ponad 50 osób i stosuje monitoring IT – przeprowadzimy audyt dokumentacji i wskażemy niezbędne zmiany: info@kordeckipartners.com.
Często zadawane pytania
P: Czy pracodawca musi uzyskać zgodę pracownika na monitoring?
O: Nie – zgoda pracownika nie jest podstawą prawną monitoringu w Polsce. Kodeks pracy przewiduje odrębną podstawę: cel, zakres i sposób stosowania monitoringu określa regulamin pracy lub układ zbiorowy. Zgoda byłaby problematyczna, ponieważ w stosunku pracy nie jest dobrowolna w rozumieniu rozporządzenia RODO. Prawidłową podstawą przetwarzania danych z monitoringu jest artykuł 6 ustęp 1 litera c lub f RODO w powiązaniu z przepisami Kodeksu pracy.
P: Ile czasu można przechowywać nagrania z monitoringu wizyjnego?
O: Maksymalny okres przechowywania nagrań z kamer to 3 miesiące od daty nagrania. Jeśli nagranie stanowi lub może stanowić dowód w postępowaniu – na przykład dyscyplinarnym lub sądowym – pracodawca może przechowywać je do czasu prawomocnego zakończenia tego postępowania. Dłuższe przechowywanie bez podstawy prawnej to naruszenie zasady ograniczenia przechowywania z artykułu 5 ustęp 1 litera e RODO.
P: Czy monitoring GPS pracowników korzystających z własnych samochodów do celów służbowych jest dozwolony?
O: To jeden z najtrudniejszych przypadków w praktyce. Monitoring GPS w prywatnym pojeździe pracownika jest co do zasady niedopuszczalny bez wyraźnej zgody pracownika – a ta, jak wskazano wyżej, jest problematyczna w stosunku pracy. Pracodawca powinien rozważyć alternatywne rozwiązania: aplikację mobilną rejestrującą trasy wyłącznie w czasie pracy, z wyraźną możliwością wyłączenia przez pracownika. Każdy taki przypadek wymaga indywidualnej analizy zgodności z zasadą proporcjonalności wynikającą z RODO.
KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do prawa pracy i mobilności globalnej. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.
Przewodnik przygotowała Olga Adamczyk, Partner i Radca prawny kierujący praktyką prawa pracy i mobilności globalnej KORDECKI & Partners. Olga Adamczyk kieruje praktyką prawa pracy i mobilności globalnej oraz koordynuje Ukrainian Desk i CIS Desk kancelarii. Doradzała przy ponad 200 zezwoleniach na pracę od 2023 r.
Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.