Spór o monitoring sieci
Jedna z firm, nie informując o tym pracowników, zainstalowała oprogramowanie umożliwiające monitoring komputerów firmowych połączonych z internetem. Zbierane były dane dotyczące adresu IP komputera, czasu zainicjowania połączeń, adresów stron internetowych lub plików, z którymi nastąpiło połączenie oraz oznaczenia określające metodę przesyłania danych wykorzystaną przy poszczególnych połączeniach. Nie było wątpliwości co do tego, że informacje te zalicza się do danych osobowych pracowników. Powstał jednak spór, czy administrator danych (pracodawca) mógł je w ten sposób, bez wiedzy pracowników, zbierać.
Jeden z pracowników poskarżył się Generalnemu Inspektorowi Ochrony Danych Osobowych. Twierdził, że działania pracodawcy polegające na przetwarzaniu jego danych osobowych naruszają jego prawa i wolność, w tym chronioną Konstytucją prywatność. GIODO wniosku pracownika nie uwzględnił - uznał, że pracodawca miał usprawiedliwiony cel przetwarzania danych, jakim były względy bezpieczeństwa systemu informatycznego, co spowodowało, że przetwarzanie danych, nawet bez zgody pracownika, było legalne. Sprawa wskutek skargi pracownika trafiła do wojewódzkiego sądu administracyjnego, który orzekł na korzyść pracownika. W wyniku skargi kasacyjnej GIODO sprawą zajął się Naczelny Sąd Administracyjny.
O oprogramowaniu monitorującym komputery należy poinformować pracowników.
Informowanie pracowników
NSA w wyroku z dnia 13 lutego 2014 r., sygn. akt I OSK 2436/12, oddalił skargę kasacyjną GIODO. Zdaniem NSA, podstawowym błędem pracodawcy było niepoinformowanie pracowników o tym, że sieć jest monitorowana.
NSA wskazał, że ustawa o ochronie danych osobowych nakłada na administratora danych obowiązek stosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych. Przepisy wykonawcze do ustawy nakazują wdrożenie rozwiązań służących zapewnieniu bezpieczeństwa systemów informatycznych, przy czym, jeśli choć jeden z komputerów ma połączenie z siecią publiczną (internetem), to należy wdrożyć fizyczne lub logiczne zabezpieczenia chroniące przed nieuprawnionym dostępem. Zabezpieczenia logiczne obejmują kontrolę przepływu informacji pomiędzy systemem informatycznym administratora danych a siecią publiczną, oraz kontrolę działań inicjowanych z sieci publicznej i systemu informatycznego administratora danych. Oprogramowanie zainstalowane przez pracodawcę spełniało te warunki, służyło więc ochronie systemu informatycznego. Tyle że oprogramowanie zbierające informacje o połączeniach pomiędzy siecią wewnętrzną a siecią publiczną, zastosowane w ramach monitoringu (kontroli), w istocie stanowi też monitoring pracownika w miejscu pracy, skoro pozwala na sprawdzenie wykazów odwiedzanych stron internetowych, czasu zainicjowanych połączeń, adresów stron lub plików, z którymi nastąpiło połączenie. Taki monitoring musi spełniać wymogi zgodności z prawem, usprawiedliwionego celu, proporcjonalności, transparentności oraz uwzględnienia przepisów o ochronie danych osobowych. Wymóg transparentności oznacza, że pracownicy powinni mieć świadomość, iż są poddawani monitoringowi. Pracodawca powinien zatem szczegółowo określić zasady monitoringu i zapoznać z nimi pracowników - uznał NSA.
NSA chroni pracowników
Wyrok nie oznacza, że pracodawcom nie wolno instalować oprogramowania monitorującego sieć. Przeciwnie - przepisy wykonawcze nakazują wdrożenie zabezpieczeń kontrolujących przepływ informacji między siecią wewnętrzną a publiczną. Nie mogą tego robić bez informowania pracowników, aby nie naruszać ich prywatności.
To kolejny wyrok NSA dotyczący ochrony danych osobowych pracowników przed nieuprawnionym wykorzystaniem przez pracodawców. Wcześniej NSA przesądził o nielegalności ewidencjonowania czasu pracy za pomocą czytników odcisków palców (wyroki z dnia 1 grudnia 2009 r., sygn. akt I OSK 249/09, oraz z dnia 6 września 2011 r., sygn. akt I OSK 1476/10) i to nawet wtedy, gdy pracownicy wyrazili na to zgodę. W ocenie NSA brak równowagi w relacji pracodawca - pracownik stawia pod znakiem zapytania dobrowolność w wyrażeniu zgody na pobieranie i przetworzenie danych osobowych (biometrycznych w postaci odcisków palców). Ponadto zbieranie danych biometrycznych nie jest adekwatne w stosunku do celów, w jakich miałyby być przetwarzane - ewidencję czasu pracy można prowadzić bez takich danych.
|
"1. Niepoinformowanie pracownika o istnieniu funkcjonalności systemu polegającej na gromadzeniu informacji pomiędzy siecią wewnętrzną a siecią Internet powoduje, że pracownik nie ma świadomości, że jest poddawany monitoringowi, a brak ten pozbawia prowadzonego monitoringu transparentności i narusza prawo do prywatności. 2. Przy przyjęciu, że monitoring systemu informatycznego jest niezbędny dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez pracodawcę jako administratora danych, art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych nie może być przesłanką legalnego przetwarzania danych osobowych gdyż przetwarzanie to narusza prawo do prywatności w sytuacji, kiedy pracownik nie ma świadomości monitoringu użytkowania komputera". Wyrok Naczelnego Sądu Administracyjnego w Warszawie z dnia 13 lutego 2014 r., sygn. akt I OSK 2436/12 |
Podstawa prawna
Ustawa z dnia 29.08.1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. nr 101, poz. 926 ze zm.)