Monitoring poczty i sieci w miejscu pracy – wskazówki dla pracodawcy / administratora

Nowelizacja Kodeksu Pracy (art. 223) wprowadziła zapisy dotyczące monitoringu poczty elektronicznej w miejscu pracy. Nie ma w Ustawie zapisów dotyczących pozostałych form monitorowania jak chociażby monitoring sieci, ale zgodnie z zapisami Kodeksu Pracy przyjmuje się, że w zakresie innych form monitoringu stosowane są te same przepisy jak w przypadku monitoringu poczty elektronicznej, na co wskazuje art. 223, § 3 oraz § 4. Co powinien krok po kroku zrobić administrator by stosowanie monitoringu poczty elektronicznej i monitoringu sieci było zgodne z prawem?

Ocena ryzyka naruszenia praw lub wolności osób i ocena skutków przetwarzania dla ochrony danych

Podobnie jak w przypadku wprowadzania monitoringu wizyjnego, pierwszą czynnością administratora przed wprowadzeniem monitoringu poczty elektronicznej oraz monitoringu sieci powinno być przeprowadzenie oceny ryzyka naruszenia praw lub wolności osób i oceny skutków przetwarzania dla ochrony danych. Podczas dokonywania oceny ryzyka i oceny skutków powinno się konsultować z Inspektorem Ochrony Danych (jeżeli został powołany w organizacji), a sam IOD powinien mieć status osoby informowanej. Poza konsultacjami z IOD warto wspierać się wytycznymi lub poradnikami Urzędu Ochrony Danych Osobowych. Przydatne mogą okazać się Wskazówki Prezesa Urzędu Ochrony Danych Osobowych dotyczące wykorzystania monitoringu wizyjnego oraz materiały opracowane przez Dyrektora Zespołu ds. Sektora Zdrowia, Zatrudnienia i Szkolnictwa Urzędu Ochrony Danych Osobowych – Zasady prowadzenia innych form monitoringu. W zakresie zaś oceny ryzyka przydatne będą wydane przez UODO dwa poradniki, z których pierwszy porusza kwestie tego jak rozumieć podejście oparte na ryzyku według RODO, drugi zaś jak stosować podejście oparte na ryzyku. Jeżeli z oceny ryzyka wynikać będzie, że przetwarzanie danych za pomocą monitoringu wizyjnego powodować może wysokie ryzyko naruszenia praw lub wolności osób, których dane dotyczą, koniecznym jest przeprowadzenie oceny skutków przetwarzania dla ochrony danych.

Bez oceny ryzyka administrator nie powinien uruchamiać procesu monitorowania pracowników

Przeprowadzanie oceny skutków przetwarzania może być wykonywane fakultatywnie w sytuacjach gdy ryzyko naruszenia praw lub wolności osób będzie średnie lub niskie i jest traktowane jako dobra praktyka. Obie oceny powinny być przeprowadzone przez administratora przed rozpoczęciem przetwarzania. Bez obu ocen, jeśli jest to obowiązkowe, lub bez samej oceny ryzyka, gdy ocena skutków jest fakultatywna, administrator nie powinien uruchamiać procesu monitorowania pracowników.

Sposób monitorowania poczty i sieci

Ze względu na możliwe wyłomy w zakresie bezpieczeństwa służbowa poczta elektroniczna powinna być wykorzystywana wyłącznie w celach służbowych. Zdarzają się jednak sytuacje, w których pracownicy korzystają ze służbowej poczty elektronicznej w celach prywatnych. W takich sytuacjach pracodawca musi pamiętać o tym, że nie może naruszać tajemnicy korespondencji. Dobrą praktyką jest oznaczanie wiadomości prywatnych w tytule. Najlepszym rozwiązaniem jest przyjęcie w organizacji takiego rozwiązania, zgodnie z którym proces monitorowania systemu poczty elektronicznej nie umożliwia wglądu administratorów w treść komunikacji. Zapoznanie z treścią winno być dopuszczalne tylko w momencie, w którym mamy do czynienia z mogącym powodować poważne reperkusje incydentem bezpieczeństwa oraz wykonywane przez osobę, która posiada w organizacji odpowiednie uprawnienia.

Dobrą praktyką jest takie skonfigurowanie systemu monitoringu poczty elektronicznej aby zbierał jedynie takie informacje jak:

  • nagłówki internetowe – analiza pod kątem testów przez system antyspamowy i utworzenia punktacji, która określa czy wiadomość jest potencjalnie niebezpieczna,
  • atrybuty po których można zdefiniować polityki dot. bezpieczeństwa tj. obecność i wielkość załącznika (bez wglądu w treść) w celu wyeliminowania komunikacji sztormowej, która mogłaby wpłynąć na stabilność całego systemu poczty elektronicznej,
  • pozostałe atrybuty jak adres nadawcy maila, temat komunikacji i/lub nazwa załącznika w celu blokady wiadomości, które na podstawie incydentów bezpieczeństwa zostały ustalone jako niebezpieczne,
  • protokół sieciowy [smtp, https], poprzez który następuje połączenie z serwerami pocztowymi (monitoring obciążenia poszczególnych serwerów pocztowych).

Wprowadzenie monitoringu poczty elektronicznej oraz monitoringu sieci powinno być realizowane wyłącznie w celu zgodnym z Kodeksem Pracy

Na przykładzie poczty opartej na MS Exchange atrybuty, które winny być rejestrowane podczas monitorowania poczty elektronicznej to m. in. RunspaceId, Timestamp (data i godzina wiadomości), ClientIp, ClientHostname, ServerIp (adres IP serwera), ServerHostname (nazwa serwera), SourceContext, ConnectorId (id łącznika), Source, EventId (typ zdarzenia), InternalMessageId, MessageId (Id wiadomości), Recipients (adresy mailowe odbiorcy), RecipientStatus, TotalBytes (całkowity rozmiar wiadomości), RecipientCount (liczba adresatów) RelatedRecipientAddress (powiązane adresy mailowe), Reference, MessageSubject (temat wiadomości), Sender (adres nadawcy) ReturnPath (adres zwrotny), Directionality, TenantId, OriginalClientIp (adres IP klienta), MessageInfo (info serw. dot wiad.), MessageLatency (opóznienia wewnętrzne w [ms] na serwerze), MessageLatencyType, EventData.

W zakresie monitorowania ruchu sieciowego system monitoringu sieci powinien być skoncentrowany przede wszystkim na autoryzacji dostępu, ograniczeniu dostępu wyłącznie dla określonych użytkowników, ochronie antywirusowej pobieranych treści, filtrowaniu ruchu na podstawie przynależności do określonych grup, deszyfracji tuneli SSL, tworzeniu czarnych list zablokowanych witryn czy logowaniu zapytań kierowanych do sieci internet.

Wprowadzenie monitoringu poczty elektronicznej oraz monitoringu sieci powinno być realizowane wyłącznie w celu zgodnym z Kodeksem Pracy, więc w celu umożliwienia pełnego wykorzystania czasu pracy oraz właściwego użytkowania udostępnionych pracownikowi narzędzi pracy.

Spełnienie obowiązku informacyjnego

Wobec pracowników, którzy pracują na monitorowanych urządzeniach należy spełnić obowiązek informacyjny. Niespełnienie obowiązku informacyjnego niesie ze sobą poważne reperkusje ze względu na to, że uniemożliwia to w dalszej perspektywie realizację praw osobie, której dane dotyczą. Informację o stosowaniu monitoringu poczty elektronicznej i monitoringu sieci można zamieścić w formie karty informacyjnej lub tabliczki w pomieszczeniu, w którym realizowana jest praca na monitorowanych urządzeniach lub w formie pop-up (wyświetlającego się okna) na urządzeniu. Zastosowana klauzula informacyjna może być warstwowa i odsyłać do pełnej klauzuli np. zamieszczonej na stronie internetowej.

Jednocześnie z wprowadzeniem monitoringu sieci i poczty elektronicznej pracodawca powinien zadbać o zamieszczenie stosownych zapisów w regulaminie pracy

Obowiązkowe informacje, które powinny znaleźć się w warstwowej klauzuli informacyjnej to m. in. piktogram, nazwa administratora, jego dane adresowe i kontaktowe, cel w jakim będą przetwarzane dane osobowe, informacje o prawie do dostępu, sprostowania, usunięcia, ograniczenia przetwarzania, wniesienia sprzeciwu wobec przetwarzania danych oraz wniesienia skargi. Dodatkowo należy zamieścić informacje o sposobie wnioskowania o prawa (adres mail, korespondencyjny) oraz o tym gdzie znaleźć pełną klauzulę informacyjną (w przypadku warstwowej klauzuli informacyjnej). Klauzula informacyjna powinna być czytelna i napisana zrozumiałym językiem.

Zapisy, które powinny znaleźć się w regulaminie pracy

Jednocześnie z wprowadzeniem monitoringu sieci i poczty elektronicznej pracodawca powinien zadbać o zamieszczenie stosownych zapisów w regulaminie pracy. W dokumencie powinny się znaleźć między innymi takie informacje jak to, że w organizacji realizowany jest monitoring sieci i poczty elektronicznej, w jakim celu prowadzony jest monitoring, jak wygląda oznaczenie miejsc lub urządzeń objętych monitoringiem. Dodatkowo administrator powinien zamieścić zapisy o tym, że monitoring nie będzie naruszał tajemnicy korespondencji, czy prowadzony jest on w sposób ciągły, jakie osoby w organizacji mają dostęp do wyników monitoringu oraz przez jaki okres będą przechowywane rezultaty monitoringu.

Retencja danych, urządzenia, bring your own device, konta współdzielone i byli pracownicy

Dane z rezultatów monitoringu poczty elektronicznej lub sieci powinny być przechowywane przez okres przedawnienia roszczeń z tytułu umowy z pracownikiem, chyba, że stanowią dowód w postępowaniu, wtedy czas przechowywania ulegnie przedłużeniu do momentu prawomocnego zakończenia postępowania.

Nie ma regulacji mówiących o tym jak powinno wyglądać użytkowanie urządzeń pracowniczych, które są monitorowane. Wytyczne dotyczą głównie kwestii takich jak zakaz monitorowania prywatnej korespondencji pracowników. Nie ma również regulacji mówiących konkretnie o sytuacji dotyczącej użytkowania prywatnego urządzenia w celach służbowych, czyli tzw. bring your own device. Nie ma też konkretnych informacji na ten temat w wytycznych Prezesa Urzędu Ochrony Danych Osobowych. Prywatne urządzenia są w stanie narazić organizację na wyłom bezpieczeństwa, dlatego odradzane jest użytkowanie ich w celach służbowych w miejscu pracy.

Obowiązek informacyjny powinien być tak samo spełniony względem osób korzystających z rozwiązania współdzielonego

Obowiązek informacyjny powinien być tak samo spełniony względem osób korzystających z rozwiązania współdzielonego i pracodawca powinien przestrzegać tych samych zasad jak dla konta indywidualnego. Ponadto zgodnie z zasadą rozliczalności administrator powinien zapewnić rozwiązanie umożliwiające każdorazowo ustalenie kto dokładnie korzystał ze współdzielonego urządzenia. Korespondencja byłych pracowników podlega tym samym, wyżej wymienionym, zasadom. Należy zachować tajemnicę korespondencji oraz należy uwzględnić retencję danych.

Podstawy prawne:

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)

Ustawa z dnia 26 czerwca 1974 r. Kodeks pracy.

Wskazówki Prezesa Urzędu Ochrony Danych Osobowych dotyczące wykorzystywania monitoringu wizyjnego

Opracowanie Dyrektora Zespołu ds. Sektora Zdrowia, Zatrudnienia i Szkolnictwa Urzędu Ochrony Danych Osobowych – Zasady prowadzenia innych form monitoringu

Hasła kluczowe:

Monitoring poczty i sieci a obowiązki pracodawcy

Monitoring poczty i sieci a prawa pracownika

Monitoring poczty i sieci zgodnie z RODO

Monitoring poczty i sieci zgodnie z Kodeksem Pracy

Czy pracodawcy wolno monitorować pracownika

Pozostałe formy monitoringu zgodnie z RODO


AUTOR: Tomasz Wącirz