Firma logistyczna z Mazowsza wdrożyła monitoring GPS pojazdów i kamery w magazynie – bez regulaminu, bez informowania pracowników, bez podstawy prawnej. Rok później kontrola Urzędu Ochrony Danych Osobowych (UODO) ujawniła naruszenie. Postępowanie trwało osiem miesięcy i zakończyło się decyzją nakazującą usunięcie zebranych danych oraz grożącą administracyjną karą pieniężną. Koszty obsługi prawnej i wdrożenia naprawczego przekroczyły 80 000 PLN.

Monitoring pracowników jest dopuszczalny na gruncie Kodeksu pracy i RODO, ale wymaga spełnienia ściśle określonych warunków: podstawy prawnej, celu proporcjonalnego do ingerencji oraz uprzedniego poinformowania pracowników. Obowiązek wdrożenia wewnętrznych procedur spoczywa na każdym pracodawcy, niezależnie od wielkości firmy. Naruszenia mogą skutkować karą do 20 000 000 EUR lub 4% rocznego obrotu globalnego.

Poniżej przedstawiamy anonimizowane studium przypadku: tło sprawy, strategię naprawczą, przebieg postępowania przed UODO oraz wnioski, które każdy pracodawca może zastosować we własnej organizacji.

Jak doszło do naruszenia i co odkryła kontrola UODO?

Spółka zatrudniała 140 pracowników magazynowych i 35 kierowców. Zarząd zdecydował o instalacji kamer wewnętrznych i systemu GPS w 2022 r. Decyzja była czysto operacyjna – ochrona towaru i optymalizacja tras. Nikt nie skonsultował wdrożenia z działem prawnym ani z inspektorem ochrony danych (IOD).

Pracownicy dowiedzieli się o monitoringu z tabliczek przy wejściu do magazynu. Nie otrzymali pisemnej informacji o celu przetwarzania, czasie retencji danych ani o prawach przysługujących im na podstawie art. 13 RODO. Regulamin pracy nie zawierał żadnego postanowienia o monitoringu. Systemy działały przez 14 miesięcy przed kontrolą.

UODO wszczęło postępowanie po skardze byłego pracownika. Kontrolerzy zażądali dokumentacji w ciągu 7 dni. Spółka nie była w stanie przedstawić: rejestru czynności przetwarzania (RCP) dla monitoringu, oceny skutków dla ochrony danych (DPIA), ani dowodów poinformowania pracowników. To przesądziło o wyniku postępowania.

Naruszono co najmniej trzy przepisy jednocześnie: brak podstawy prawnej w rozumieniu art. 6 RODO, brak obowiązku informacyjnego z art. 13 RODO oraz brak wpisu do regulaminu pracy wymaganego przez art. 222 § 6 Kodeksu pracy. W praktyce – wiele firm o tym zapomina – Kodeks pracy nakłada własne, odrębne wymogi formalne, niezależne od RODO.

Jaka strategia naprawcza pozwoliła ograniczyć odpowiedzialność?

Pracodawca, który nie współpracuje z UODO, ryzykuje karę na górnym pułapie. Spółka wybrała strategię odwrotną: pełna współpraca, natychmiastowe wdrożenie środków naprawczych i dokumentowanie każdego kroku. To podejście ma podstawę w art. 83 ust. 2 RODO, który nakazuje organowi uwzględniać stopień współpracy przy wymiarze kary.

W pierwszym tygodniu po wszczęciu postępowania kancelaria przygotowała trzy dokumenty. Po pierwsze – analizę legalności każdego systemu monitoringu. Po drugie – projekt zmiany regulaminu pracy. Po trzecie – wzór klauzuli informacyjnej dla pracowników. Równolegle spółka wyznaczyła IOD i zgłosiła go do UODO.

Zmiana regulaminu pracy wymagała zachowania 2-tygodniowego okresu wejścia w życie. Pracownicy otrzymali pisemną informację o monitoringu przed upływem tego terminu. Klauzula informacyjna obejmowała: cel i podstawę prawną przetwarzania, czas retencji nagrań (30 dni dla kamer, 90 dni dla GPS), dane IOD oraz pouczenie o prawach. Dla pracowników zatrudnionych na podstawie programów motywacyjnych przygotowano odrębną dokumentację uwzględniającą specyfikę ich stosunków prawnych.

DPIA przeprowadzono zgodnie z wytycznymi Grupy Roboczej Art. 29. Ocena wykazała, że monitoring GPS jest proporcjonalny do celu (bezpieczeństwo ładunku, weryfikacja czasu pracy kierowców). Kamery w strefach socjalnych – szatniach i pomieszczeniu ze skrytkami – zostały wyłączone. To była decyzja kluczowa: monitoring w tych miejscach jest zakazany bezwzględnie.

Spółka wdrożyła również kanał zgłoszeń wewnętrznych zgodnie z art. 8 ustawy o sygnalistach. W praktyce okazało się, że pierwotna skarga do UODO mogła trafić najpierw do pracodawcy, gdyby taki kanał istniał. Pracodawcy z ponad 50 pracownikami mają obowiązek jego wdrożenia od 25 września 2024 r.

Pełna dokumentacja naprawcza trafiła do UODO w ciągu 45 dni od wszczęcia postępowania. Organ uwzględnił to jako okoliczność łagodzącą.

Jeśli Państwa firma stosuje monitoring pracowników bez aktualnej dokumentacji RODO, każdy dzień zwłoki zwiększa ryzyko nieodwracalnych konsekwencji. Skontaktuj się z nami, zanim zrobi to UODO: info@kordeckipartners.com.

Jakie wnioski wyciągnąć z tej sprawy – checklista dla pracodawcy?

Studium przypadku pokazuje schemat powtarzający się w polskich firmach. Monitoring wdrażany jest operacyjnie, bez analizy prawnej. Dokumentacja powstaje dopiero po kontroli. Koszty naprawcze wielokrotnie przekraczają koszt prawidłowego wdrożenia na początku.

Prawo pracy i RODO nakładają na pracodawcę obowiązki, które muszą być spełnione przed uruchomieniem monitoringu – nie po. Art. 222 § 6 k.p. wymaga wpisu do regulaminu pracy lub układu zbiorowego. Art. 13 RODO wymaga klauzuli informacyjnej. Brak któregokolwiek z tych elementów to samodzielna podstawa do wszczęcia postępowania przez UODO.

Warto pamiętać, że przepisy o monitoringu nie dotyczą wyłącznie kamer. Obejmują monitoring poczty elektronicznej, aktywności na komputerze, lokalizacji GPS, a nawet systemów rejestracji czasu pracy. Każdy z tych systemów wymaga odrębnej analizy proporcjonalności. Pracodawca zatrudniający pracowników na podstawie umów długoterminowych musi uwzględnić, że art. 25(1) § 1 k.p. limituje łączny czas zatrudnienia terminowego do 33 miesięcy – co wpływa na zakres dokumentacji pracowniczej powiązanej z monitoringiem.

Poniżej – lista kontrolna minimalnych wymogów przed uruchomieniem monitoringu:

  • Wpis do regulaminu pracy z co najmniej 2-tygodniowym wyprzedzeniem przed uruchomieniem systemu.
  • Pisemna klauzula informacyjna z art. 13 RODO dostarczona każdemu pracownikowi.
  • Rejestr czynności przetwarzania (RCP) z opisem systemu monitoringu.
  • DPIA – jeśli monitoring jest rozległy lub dotyczy szczególnych kategorii danych.
  • Brak kamer w strefach sanitarnych, szatniach i pomieszczeniach przeznaczonych do odpoczynku.

Dodatkowym zabezpieczeniem jest wyznaczenie IOD i wdrożenie kanału sygnalistów. Obie struktury działają jako bufor: umożliwiają wykrycie naruszeń wewnętrznie, zanim trafi do nich UODO lub sąd pracy.

Dla firm zatrudniających pracowników zagranicznych – w tym posiadaczy Blue Card Polska – obowiązki informacyjne są takie same. Klauzula informacyjna powinna być dostępna w języku zrozumiałym dla pracownika. To wymóg wynikający z zasady przejrzystości RODO, a nie wyłącznie dobra praktyka.

Konkretna sytuacja Państwa firmy może różnić się od opisanego przypadku – zakres systemów monitoringu, liczba pracowników i historia dokumentacji mają wpływ na ocenę ryzyka. Brak prawidłowej dokumentacji zamyka drogę do skutecznej obrony w postępowaniu przed UODO.

Jeśli Państwa spółka stosuje monitoring pracowników i nie posiada kompletnej dokumentacji RODO – przeprowadzimy audyt zgodności, przygotujemy regulamin i klauzule informacyjne oraz wesprzemy w kontakcie z UODO: info@kordeckipartners.com.

Często zadawane pytania

P: Czy monitoring GPS kierowców jest zawsze legalny?

O: Monitoring GPS jest legalny, jeśli służy uzasadnionemu celowi pracodawcy (np. bezpieczeństwo ładunku, weryfikacja czasu pracy) i spełnia wymogi formalne: wpis do regulaminu pracy, klauzula informacyjna z artykułu 13 RODO, retencja danych ograniczona do niezbędnego minimum. Sama legalność celu nie wystarczy – konieczna jest dokumentacja. Brak regulaminu to naruszenie artykułu 222 paragrafu 6 Kodeksu pracy, niezależnie od RODO.

P: Ile czasu zajmuje wdrożenie zgodnego z prawem systemu monitoringu?

O: Minimalne wdrożenie – zmiana regulaminu pracy, klauzule informacyjne, wpis do rejestru czynności przetwarzania – zajmuje około 3–4 tygodni. Obowiązkowy okres wyprzedzenia przed wejściem w życie zmian regulaminu wynosi 2 tygodnie. Jeśli system wymaga przeprowadzenia oceny skutków dla ochrony danych (DPIA), należy doliczyć dodatkowe 2–3 tygodnie na analizę.

P: Czy pracodawca może monitorować służbową pocztę elektroniczną pracowników?

O: Tak, ale wyłącznie w celach służbowych i po spełnieniu warunków formalnych identycznych jak dla monitoringu wizyjnego. Pracodawca nie może monitorować prywatnej korespondencji pracownika, nawet jeśli odbywa się ona na służbowym sprzęcie. Granica między korespondencją służbową a prywatną musi być jasno określona w regulaminie. Naruszenie tej granicy jest kwalifikowane przez UODO jako poważne naruszenie zasady minimalizacji danych.

KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do prawa pracy i ochrony danych osobowych. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.

Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.