Firma logistyczna z Mazowsza wdrożyła monitoring GPS pojazdów służbowych bez poinformowania pracowników. Kontrola Państwowej Inspekcji Pracy ujawniła naruszenie – pracodawca nie dopełnił obowiązku informacyjnego wymaganego zarówno przez Kodeks pracy, jak i przez RODO. Skutek: nakaz usunięcia danych, ryzyko skargi do UODO i utrata zaufania załogi.
Monitoring pracowników w Polsce podlega podwójnemu reżimowi prawnemu: przepisom Kodeksu pracy (art. 22(2)–22(3) k.p.) oraz Rozporządzeniu (UE) 2016/679 (RODO). Pracodawca musi spełnić obowiązek informacyjny, prowadzić rejestr czynności przetwarzania i wdrożyć monitoring w drodze aktów wewnątrzzakładowych. Naruszenie reguł grozi karą administracyjną do 20 mln EUR lub 4% rocznego obrotu.
Poniższy przewodnik opisuje krok po kroku, co pracodawca musi zrobić przed uruchomieniem monitoringu, jak postępować w trakcie jego prowadzenia i jakich błędów unikać. Omawiamy trzy scenariusze biznesowe: producenta przemysłowego, firmę IT oraz zagranicznego inwestora wchodzącego na rynek polski.
Jakie rodzaje monitoringu są dopuszczalne i co mówią przepisy?
Kodeks pracy wyróżnia kilka form nadzoru nad pracownikiem. Każda wymaga odrębnej podstawy prawnej i odrębnego uzasadnienia. Dopuszczalne formy to: monitoring wizyjny (CCTV), monitoring poczty elektronicznej, monitoring GPS pojazdów oraz kontrola aktywności na służbowym sprzęcie IT. Pracodawca nie może wprowadzić żadnej z tych form bez wyraźnej podstawy w przepisach wewnątrzzakładowych.
Podstawę stanowi art. 22(2) k.p. Przepis pozwala na monitoring wizyjny, jeśli jest niezbędny do zapewnienia bezpieczeństwa pracowników, ochrony mienia lub kontroli produkcji. Art. 22(3) k.p. reguluje z kolei monitoring poczty służbowej – dopuszczalny wyłącznie wtedy, gdy pracodawca uprzednio poinformował pracownika o jego zakresie. UODO (Urząd Ochrony Danych Osobowych) wielokrotnie podkreślał, że brak tej informacji czyni przetwarzanie danych bezprawnym.
W praktyce – wiele firm o tym zapomina – monitoring GPS pojazdów służbowych nie jest wprost uregulowany w k.p. Stosuje się do niego ogólne przepisy RODO, a uzasadnieniem jest prawnie uzasadniony interes pracodawcy (art. 6 ust. 1 lit. f RODO). Wymaga to jednak przeprowadzenia testu równowagi interesów i udokumentowania go w rejestrze czynności przetwarzania prowadzonym przez administratora danych.
Monitoring nie może obejmować pomieszczeń sanitarnych, szatni, stołówek ani pomieszczeń przeznaczonych do odpoczynku. Naruszenie tego zakazu to wykroczenie zagrożone grzywną do 30 000 PLN, a w poważniejszych przypadkach – przestępstwo.
Jak krok po kroku wdrożyć monitoring zgodny z RODO?
Wdrożenie monitoringu wymaga sekwencji działań. Prawidłowa kolejność chroni pracodawcę przed zarzutem bezprawnego przetwarzania danych. Poniżej procedura w pięciu etapach, z orientacyjnymi terminami realizacji każdego z nich.
Etap 1 – Analiza celowości (do 14 dni przed uruchomieniem). Pracodawca musi zdefiniować cel monitoringu. Cel musi być konkretny, legalny i proporcjonalny. „Ogólna kontrola pracowników" nie wystarczy. Należy wskazać: ochronę mienia o wartości X PLN, zapewnienie ciągłości produkcji lub bezpieczeństwo na terenie zakładu.
Etap 2 – Aktualizacja dokumentacji wewnątrzzakładowej (do 7 dni przed uruchomieniem). Monitoring należy wprowadzić w układzie zbiorowym pracy lub w regulaminie pracy, a jeśli pracodawca nie jest objęty układem ani nie ma obowiązku tworzenia regulaminu – w obwieszczeniu. Brak tego kroku to jeden z najczęstszych błędów wykrywanych przez PIP.
Etap 3 – Obowiązek informacyjny (nie później niż 2 tygodnie przed uruchomieniem). Pracodawca musi poinformować każdego pracownika o zakresie, celu i czasie przechowywania nagrań. Nowych pracowników informuje się przed dopuszczeniem do pracy. Informacja musi spełniać wymogi art. 13 RODO – zawierać dane administratora, podstawę prawną, okres retencji i prawa osoby.
Etap 4 – Rejestr czynności przetwarzania i ocena skutków (DPIA). Pracodawca prowadzi rejestr czynności przetwarzania wymagany przez art. 30 RODO. Jeśli monitoring może powodować wysokie ryzyko dla praw pracowników – np. monitoring biometryczny lub śledzenie lokalizacji w czasie rzeczywistym – konieczna jest ocena skutków dla ochrony danych (DPIA). UODO może zostać powiadomiony przed wdrożeniem.
Etap 5 – Ograniczenie okresu retencji. Nagrania z monitoringu wizyjnego można przechowywać maksymalnie przez 3 miesiące, chyba że stanowią dowód w postępowaniu – wtedy do czasu prawomocnego zakończenia sprawy. Przekroczenie tego okresu to naruszenie zasady minimalizacji danych.
- Zdefiniuj konkretny cel przed zakupem sprzętu
- Zaktualizuj regulamin pracy lub wydaj obwieszczenie
- Wręcz pracownikom pisemną informację RODO najpóźniej 14 dni przed startem
- Uzupełnij rejestr czynności przetwarzania o nową kategorię
- Ustaw automatyczne usuwanie nagrań po 3 miesiącach
Pracodawca zatrudniający co najmniej 50 pracowników musi ponadto prowadzić wewnętrzny kanał zgłoszeń wymagany przez art. 8 ustawy o sygnalistach. Pracownicy mogą tamtędy zgłaszać naruszenia ochrony danych – w tym nieprawidłowości w zakresie monitoringu.
Jeśli Państwa firma zatrudnia cudzoziemców i rozważa monitoring ich stanowisk pracy, zapoznaj się z naszym przewodnikiem: zatrudnianie cudzoziemców w Polsce – kompletny proces. Obowiązki informacyjne są identyczne niezależnie od obywatelstwa pracownika.
Jakie błędy popełniają pracodawcy i jak ich unikać?
Trzy scenariusze biznesowe pokazują, gdzie najczęściej dochodzi do naruszeń. Każdy z nich ilustruje inny typ ryzyka i inną ścieżkę naprawy.
Scenariusz A – producent przemysłowy z Śląska (wiosna 2024). Spółka zamontowała kamery na hali produkcyjnej w celu ograniczenia kradzieży materiałów. Pracownicy nie zostali poinformowani z wymaganym 14-dniowym wyprzedzeniem. Inspektor PIP podczas kontroli stwierdził naruszenie i wydał nakaz. Spółka musiała przeprowadzić ponowną procedurę informacyjną i zaktualizować regulamin pracy – co kosztowało ok. 3 tygodnie przestoju proceduralnego.
Scenariusz B – firma IT z Krakowa. Pracodawca wdrożył oprogramowanie do monitorowania aktywności na służbowych laptopach (keylogger). Cel był uzasadniony: ochrona tajemnicy przedsiębiorstwa. Problem polegał na tym, że oprogramowanie rejestrowało również prywatne wiadomości pracowników wysyłane w czasie przerw. UODO uznał, że naruszono zasadę proporcjonalności. Zalecenie: monitoring IT powinien obejmować wyłącznie aktywność zawodową, a pracownicy powinni być poinformowani o tym wprost.
Scenariusz C – zagraniczny inwestor wchodzący na rynek polski. Dla niemieckiego inwestora wchodzącego na rynek polski monitoring pracowników może wydawać się prostą sprawą. W Niemczech obowiązuje jednak Betriebsverfassungsgesetz, który wymaga zgody rady zakładowej. W Polsce analogicznej zgody się nie wymaga, ale obowiązek informacyjny i wymóg aktu wewnątrzzakładowego są równie rygorystyczne. Inwestor, który przeniesie procedury z macierzystej jurysdykcji bez adaptacji, naraża się na decyzję UODO.
Uważamy, że bezpieczniejszym rozwiązaniem jest przeprowadzenie krótkiego audytu zgodności przed wdrożeniem monitoringu, niż korygowanie naruszeń po fakcie. Koszt audytu to ułamek potencjalnej kary administracyjnej.
Warto też pamiętać o powiązaniu z przepisami dotyczącymi sygnalistów. Pracownik, który uzna, że monitoring narusza jego prawa, może skorzystać z wewnętrznego kanału zgłoszeń (art. 8 ustawy o sygnalistach) lub złożyć skargę do UODO. Retaliation – czyli działania odwetowe wobec takiego pracownika – grozi pracodawcy karą do 1 080 000 PLN i do 3 lat pozbawienia wolności (art. 54 ustawy o sygnalistach).
Kwestie dotyczące ryzyka finansowego spółki w kontekście naruszeń prawa – w tym naruszeń przepisów o ochronie danych – omawia nasz materiał o prawach rady wierzycieli w polskim postępowaniu upadłościowym.
Czy monitoring pracowników zdalnych i cudzoziemców rządzi się innymi zasadami?
Praca zdalna zmieniła sposób myślenia o monitoringu. Pracodawca ma prawo kontrolować, czy pracownik wykonuje obowiązki służbowe w czasie pracy zdalnej. Nie może jednak instalować oprogramowania rejestrującego aktywność prywatną na prywatnym sprzęcie pracownika. Art. 67(18) k.p. nakłada na pracodawcę obowiązek zapewnienia służbowego sprzętu lub wypłaty ekwiwalentu – i tylko na tym sprzęcie monitoring jest w pełni dopuszczalny.
W przypadku pracowników zdalnych monitoring lokalizacji jest szczególnie wrażliwy. GPS w służbowym laptopie lub smartfonie może być uzasadniony, jeśli pracownik obsługuje klientów w terenie. Nie jest uzasadniony, jeśli pracownik wykonuje zadania wyłącznie z domu. Test proporcjonalności musi być przeprowadzony i udokumentowany.
Cudzoziemcy zatrudnieni w Polsce – w tym posiadacze Blue Card Polska (zezwolenia na pracę dla wysoko wykwalifikowanych specjalistów z wynagrodzeniem co najmniej 12 272,58 PLN miesięcznie) – podlegają tym samym przepisom RODO co obywatele polscy. Nie ma odrębnych zasad dla pracowników z zagranicy. Obowiązek informacyjny musi być spełniony w języku zrozumiałym dla pracownika – co w praktyce oznacza konieczność przygotowania tłumaczenia klauzuli informacyjnej.
Firmy korzystające z outsourcingu IT lub delegujące pracowników do pracy za granicą powinny sprawdzić, czy monitoring prowadzony przez podmiot przetwarzający (procesor) jest objęty umową powierzenia przetwarzania danych wymaganą przez art. 28 RODO. Brak tej umowy to naruszenie, które UODO wykrywa regularnie podczas kontroli.
Pracodawcy zatrudniający cudzoziemców na podstawie zezwolenia na pracę lub Blue Card Polska powinni uwzględnić monitoring jako element polityki HR opisanej w dokumentacji dołączonej do wniosku o zezwolenie. Kancelaria prawa pracy może pomóc w przygotowaniu spójnej dokumentacji.
Często zadawane pytania
P: Jak długo pracodawca może przechowywać nagrania z monitoringu wizyjnego?
O: Nagrania z CCTV można przechowywać maksymalnie przez 3 miesiące od daty nagrania. Wyjątkiem jest sytuacja, gdy nagranie stanowi dowód w postępowaniu sądowym lub dyscyplinarnym – wtedy okres przechowywania przedłuża się do czasu prawomocnego zakończenia tego postępowania. Przekroczenie trzymiesięcznego okresu retencji bez podstawy prawnej jest naruszeniem zasady minimalizacji danych wynikającej z artykułu 5 ustęp 1 lit. e RODO.
P: Czy pracodawca musi uzyskać zgodę pracownika na monitoring?
O: Nie. To częste nieporozumienie. Monitoring pracowników nie opiera się na zgodzie pracownika, lecz na prawnie uzasadnionym interesie pracodawcy (artykuł 6 ustęp 1 lit. f RODO) lub na obowiązku prawnym. Zgoda jako podstawa przetwarzania jest w stosunkach pracy problematyczna, ponieważ UODO uznaje, że pracownik nie może swobodnie jej udzielić ani cofnąć ze względu na zależność od pracodawcy. Zamiast zgody pracodawca stosuje obowiązek informacyjny i akty wewnątrzzakładowe.
P: Ile kosztuje wdrożenie zgodnego z RODO systemu monitoringu w małej firmie?
O: Koszty zależą od skali. Sama procedura prawna – aktualizacja regulaminu pracy, przygotowanie klauzul informacyjnych i uzupełnienie rejestru czynności przetwarzania – to przy wsparciu kancelarii prawa pracy wydatek rzędu kilku tysięcy złotych. Dodatkowe koszty generuje ewentualna ocena skutków dla ochrony danych (DPIA) przy systemach wysokiego ryzyka. Koszt naprawy naruszeń wykrytych przez UODO lub PIP jest wielokrotnie wyższy.
Jeśli Państwa firma planuje wdrożenie monitoringu lub chce zweryfikować zgodność istniejącego systemu z RODO i Kodeksem pracy, konkretna analiza Państwa sytuacji jest możliwa już po jednej konsultacji. Niezidentyfikowane naruszenia mogą prowadzić do nieodwracalnych konsekwencji – decyzji UODO, nakazów PIP i roszczeń pracowniczych.
Jeśli Państwa spółka wdrożyła lub planuje wdrożyć monitoring pracowników i potrzebuje oceny zgodności z RODO oraz Kodeksem pracy – przeprowadzimy audyt dokumentacji, zaktualizujemy regulamin i przygotujemy klauzule informacyjne: info@kordeckipartners.com.
KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do prawa pracy i ochrony danych osobowych. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.
Autorem artykułu jest Olga Adamczyk, Partner, Radca prawny. Olga Adamczyk kieruje praktyką prawa pracy i mobilności globalnej oraz koordynuje Ukrainian Desk i CIS Desk kancelarii. Doradzała przy ponad 200 zezwoleniach na pracę od 2023 r.
Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.