Baza wiedzy

Monitorowanie aktywności pracowników na komputerach służbowych jest ważnym elementem tworzenia systemu zabezpieczeń IT w firmie. Monitorowanie takie jest legalne, choć musi odbywać się według określonych wytycznych i dotyczyć wyłącznie wskazanych prawnie obszarów działań pracownika. Działania w zakresie ochrony i monitorowania pracowników muszą być zgodne z prawem polskim oraz RODO. Jak wygląda to w praktyce?

Monitorowanie aktywności pracowników na komputerach służbowych a prawo

Zgodnie z polskim prawem, monitorowanie aktywności komputera służbowego pracownika jest legalne i pracodawca ma do tego pełne prawo w ramach zapewniania bezpieczeństwa danych swojej firmy. Prawo to jest poparte także przepisami europejskimi, w tym RODO – ustawa dopuszcza monitorowanie, choć narzuca określone reguły wskazujące na to jak należy monitorować pracowników, jakie informacje o ich aktywności mogą być zbierane i w jaki sposób przetwarza się dane pracowników, których komputery służbowe są monitorowane.

 

Jednym z założeń ujętych i w RODO, i w prawie polskim jest konieczność poinformowania pracowników o tym, że ich aktywność na firmowych komputerach jest kontrolowana. Informacja taka powinna znaleźć się w regulaminie pracy, zostać przedstawiona każdemu nowemu pracownikowi (oraz wszystkim pracownikom w momencie wdrażania programu do monitorowania), a w razie konieczności i wątpliwości należy wyjaśnić działanie systemu kontroli i potwierdzić jego zgodność z obowiązującymi przepisami, w tym także RODO.

Jaka aktywność na komputerach pracowników może być monitorowana?

Ze względu na ochronę prywatności pracowników, kontrola ich komputerów służbowych przez pracodawcę ma pewne ograniczenia. Najważniejszym z nich jest zasada o nienaruszaniu dóbr osobistych ani prywatności kontrolowanych osób. Pracodawca może monitorować efektywność pracowników i sprawdzać, czy firmowy sprzęt jest używany zgodnie z przeznaczeniem, ale nie może śledzić komputera by uzyskać poufne i wrażliwe dane na temat pracownika. Jak wygląda to w praktyce?

 

Pracodawca, przyznając pracownikowi komputer służbowy i spodziewając się, że ten będzie wykorzystywał go do wykonywania powierzonych mu zadań może sprawdzić, czy komputer jest używany zgodnie z przeznaczeniem. Z reguły pracodawcy nie będzie na rękę, jeśli pracownicy spędzają swój czas na komputerze służbowym sprawdzając prywatną pocztę czy korzystając z portali społecznościowych.

 

Dostęp do wielu stron i portali może być niepożądany i generować ryzyko wycieku ważnych danych z firmy. Kontrola ma tu wartość nieocenioną, ale ma pewne ograniczenia.  Choć pracodawca może sprawdzić na jakie strony internetowe wchodzi pracownik w trakcie pracy, nie może zagłębiać się w treść odwiedzanych stron.

 

Nielegalne byłoby kontrolowanie pracownika w taki sposób, by do rąk pracodawcy trafiły informacje o jego stanie konta bankowego, problemów zdrowotnych czy prywatnych sprawach nie związanych z życiem zawodowym.

Kontrola aktywności pracownika a poczta e-mail

Wyjątkowym przykładem ograniczeń związanych z kontrolą aktywności pracowników jest poczta e-mail i czytanie prywatnych wiadomości przesyłanych drogą elektroniczną. Pracodawca z reguły udostępnia pracownikom służbowy adres e-mail, z którego kontaktują się m.in. z klientami. Firmowa skrzynka pocztowa jest własnością pracodawcy, a nie pracownika, w związku z czym pracodawca ma prawo wiedzieć jak pracownik z niej korzysta.

 

Polskie prawo mówi, że pracodawca może monitorować maile pracowników w celu sprawdzenia sposobu, w jaki wykorzystywana jest firmowa poczta, sprawdzenia efektywności pracy i wykorzystania czasu pracy czy monitorowania właściwego użytkowania narzędzi pracy. Nie może jednak czytać prywatnych maili, nawet jeśli są wysyłane ze skrzynki firmowej, zgodnie z zasadą tajemnicy korespondencji i poszanowania dóbr osobistych pracownika.

Jak odbywa się kontrola komputerów służbowych?

Najczęściej stosowanym sposobem na monitorowanie aktywności pracownika na komputerze służbowym są odpowiednie programy śledzące wprowadzone do użytku zgodnie z obowiązującym prawem krajowym i przepisami europejskimi, w tym także RODO.

 

Wybiórcza, częściowa kontrola komputerów służbowych pracowników jest możliwa, ale nie gwarantuje pełnego zabezpieczenia całej infrastruktury firmowej. O ile więc można wykupić na podstawie licencji programy do monitorowania aktywności komputerów pracowników, znacznie lepszym rozwiązaniem skupiającym się na ochronie danych osobowych i informacji firmowych będzie wdrożenie pełnego systemu DLP dla infrastruktury IT.

 

Stworzenie kompletnego systemu podchodzącego kompleksowo do kwestii bezpieczeństwa IT ułatwia monitorowanie aktywności i bezpieczeństwo działań pracowników na komputerach służbowych, ale zabezpiecza też przed atakami z zewnątrz, przypadkową utratą danych oraz lukami w zabezpieczeniach spowodowanymi wykorzystaniem starszych technologii czy nieaktualnych rozwiązań. W szerokiej perspektywie, kompleksowa ochrona zasobów IT firmy jest tańsza, niż wdrażanie pojedynczych rozwiązań nie zapewniających pełnego bezpieczeństwa danych firmowych.