Pracowniczy monitoring GPS a RODO

Powyższe nabiera znaczenia w przypadku pracowników, których praca podlega konstytucyjnej ochronie m.in. ze względu na nierównowagę stron w relacji z pracodawcą. Dlatego też zgodnie z art. 88 RODO ustawodawca wprowadził warunki w odniesieniu do różnych form monitoringu pracowniczego, w tym GPS.

Monitoring GPS pracownika – w jakich celach

Monitorowanie pracowników za pomocą urządzeń GPS jest tzw. inną formą monitoringu pracowniczego. Taki monitoring może być wprowadzony w danym zakładzie jedynie w sytuacji, gdy „jest to niezbędne do zapewnienia organizacji pracy umożliwiającej pełne wykorzystanie czasu pracy oraz właściwego użytkowania udostępnionych pracownikowi narzędzi pracy” (art. 22³ § 1 Kodeksu pracy). W prostych słowach: śledzenie lokalizacji pracownika musi być niezbędne do tego, aby monitorować czas pracy i prawidłowe korzystanie z pojazdu powierzonego pracownikowi.

W konsekwencji monitoring pracowniczy polegający na śledzeniu GPS wdrażany w innych celach niż te wskazane w art. 22³ § 1 Kodeksu pracy będzie nadmiarowy.

Podstawa prawna

Monitoring pracowniczy nie jest obowiązkiem prawnym pracodawcy. Może się jednak zdarzyć, że przepisy sektorowe będą nakładały obowiązek stosowania takiego monitoringu w posiadanych pojazdach. Takim przypadkiem jest system monitorowania drogowego i kolejowego przewozu towarów oraz obrotu paliwami opałowymi (system SENT) czy obowiązek monitoringu GPS śmieciarek. Obowiązki te dotyczą jednak pojazdów, a nie pracowników. Wykorzystanie tych systemów w celu prowadzenia monitoringu pracowniczego będzie się wiązało z osobnym celem i osobną podstawą prawną.

Podstawą prawną monitoringu pracowniczego nie może być zgoda. Wynika to z nierównowagi stron w relacji między pracownikiem a pracodawcą. Taka zgoda mogłaby być wyrażona niedobrowolnie lub jej wycofanie mogłoby się wiązać z negatywnymi skutkami dla pracownika.

Odpowiednią podstawą prawną będzie prawnie uzasadniony interes administratora. Trzeba pamiętać, że aby móc zastosować tę podstawę prawną, należy przeprowadzić tzw. test równowagi.

Test równowagi może stanowić element oceny skutków dla ochrony danych (DPIA) lub też być do niej załączony. W takim teście należy wziąć pod uwagę m.in. specyfikę stosunku pracy, w tym nierównowagę stron, konstytucyjną ochronę pracy, a także przesłankę niezbędności do celów wskazanych w art. 22³ § 1 Kodeksu pracy.

Wdrożenie monitoringu GPS zgodnie z Kodeksem pracy

Kodeks pracy daje jasne wytyczne, jak wdrażać monitoring pracowniczy. Przepisy dotyczące zasad monitoringu wizyjnego stosuje się odpowiednio również do innych form monitoringu, w tym monitoringu GPS. Oznacza to, że:

1. w regulaminie, układzie zbiorowym lub obwieszczeniu pracodawca wskazuje cel, zakres oraz sposób zastosowania monitoringu GPS:
   1. cel – związany z zapewnieniem organizacji pracy umożliwiającej pełne wykorzystanie czasu pracy oraz właściwego użytkowania narzędzi pracy udostępnionych pracownikowi,
   2. zakres – jakie kategorie danych, jak długo przechowywane itd.,
   3. sposób – jak działa monitoring, czyli za pomocą jakich narzędzi, kto ma do niego dostęp, komu się go udostępnia, kiedy jest uruchamiany, jak go wyłączyć itd.;
2. na 2 tygodnie przed uruchomieniem monitoringu pracodawca informuje pracowników, w przyjęty u siebie sposób, o jego wprowadzeniu;
3. informacje z pkt 1 powinny być przekazane pracownikowi na piśmie przed dopuszczeniem go do pracy; oświadczenie pracownika powinno znaleźć się w aktach pracowniczych w części B;
4. najpóźniej na jeden dzień przed uruchomieniem monitoringu pojazd powinien być oznaczony w sposób widoczny i czytelny, za pomocą np. piktogramu.

Niezależnie od powyższych wymogów pracodawca jako administrator musi spełnić wszystkie obowiązki związane z przejrzystością przetwarzania.

Przejrzystość przetwarzania

Zgodnie z art. 22³ § 3 w zw. z art. 22² § 9 Kodeksu pracy monitoring GPS powinien być oznaczony w sposób widoczny i czytelny, za pomocą odpowiednich znaków lub ogłoszeń dźwiękowych. Widoczność i czytelność korelują z przepisem art. 12 ust. 1 RODO, który konkretyzuje zasadę przejrzystości, w szczególności z wymogami zwięzłości, przejrzystości i dostępności. W przypadku uzupełnienia znaków komunikatami głosowymi lub pisemnymi należy pamiętać dodatkowo o wymogu jasnego i prostego języka.

Wymogi Kodeksu pracy dotyczące przejrzystości funkcjonują niezależnie od wymogów RODO. Jeśli chcemy przekazywać informacje sprawnie, zwięźle i przejrzyście, warto rozważyć połączenie obu trybów komunikowania. Informacje z art. 13 RODO mogą się znaleźć w informacji przekazywanej nowym pracownikom, w obwieszczeniu i regulaminie pracy. Możemy wspomóc się warstwowym przekazywaniem informacji i umieszczać w pojazdach tabliczkę: piktogram wraz z pierwszą warstwą informacyjną.

Dla przypomnienia:

Pierwsza warstwa powinna zawierać co najmniej informacje o tożsamości administratora, celu, prawach osób i miejscu, gdzie można znaleźć pełną warstwę informacyjną. Taki komunikat można uzupełnić o istotne kwestie dla podmiotu danych, szczególnie jeśli mogą go zaskoczyć. W odniesieniu do monitoringu GPS może to być np. informacja o czasie, kiedy rejestrator pracuje, albo o tym, czy dostęp do monitoringu może mieć jakiś urząd. W przypadku przewozu towarów wrażliwych dane są udostępniane do systemu SENT, którego administratorem jest Szef Krajowej Administracji Skarbowej.

Wzór tabliczki informacyjnej

Możesz go pobrać pod tym linkiem

Często spotykam się z pytaniem, gdzie umieszczać takie informacje. Pracodawca powinien umieścić tabliczkę informacyjną w pojeździe. Należy mieć przy tym na uwadze wymóg widoczności. Oznacza to, że informacja musi być przekazana zwięźle, przejrzyście, a jej znalezienie nie powinno sprawiać trudności.

Grupa Robocza art. 29 podejmowała się udzielania rekomendacji związanych z przekazywaniem informacji o geolokalizacji. W opinii 13/2011 w sprawie usług geolokalizacyjnych w inteligentnych urządzeniach przenośnych (WP 185) wskazała, że jeśli logujemy lokalizacje więcej niż raz, informacja musi być przekazywana przez administratorów „tak długo, jak długo przetwarzają dane dotyczące lokalizacji”. Zgodnie z tym dokumentem informacje powinny być „stale i łatwo dostępne”. Z kolei w opinii 5/2005 w sprawie wykorzystywania danych dotyczących lokalizacji w celu świadczenia usług tworzących wartość dodaną Grupa Robocza art. 29 zaznaczyła, że osoba objęta monitoringiem powinna móc w każdej chwili wrócić do informacji o geolokalizacji w łatwy sposób, np. przez stronę internetową lub w czasie korzystania z usługi. W omawianym przypadku tabliczka informacyjna może być umieszczona w schowku pojazdu, a jej treść – zamieszczona na stronie WWW czy w extranecie, aby w każdej chwili kierowca mógł przypomnieć sobie pełne informacje.

RODO.
Wsparcie się przydaje

Sam ustal zakres wspracia, aby zapewnić organizacji pełną zgodność z RODO przy optymalnych kosztach.

ZAMÓW OFERTĘ

Dodatkowym środkiem może być informowanie kierowcy o działaniu rejestracji lokalizacji za pomocą komunikatów świetlnych (np. czerwona lampka) lub ikon. Jako przykład Europejska Rada Ochrony Danych w wytycznych 01/2020 podaje strzałkę na ekranie. Jest to tzw. informowanie w ramach interfejsu użytkownika (notyfikacja w tle).

Wdrożenie monitoringu zgodnie z Kodeksem pracy oraz z uwzględnieniem wymogów art. 12 i 13 RODO spowoduje, że pracownik będzie poinformowany o celach przetwarzania przed przystąpieniem do pracy oraz będzie miał możliwość zapoznania się w pojeździe z najważniejszymi informacjami.

Czy należy przeprowadzić DPIA

Jeżeli uznamy, że z dużym prawdopodobieństwem nasz proces przetwarzania wiąże się z wysokim ryzykiem naruszenia praw lub wolności podmiotu danych, powinniśmy przeprowadzić ocenę skutków dla ochrony danych. Pozwoli ona kompleksowo opisać proces, ocenić jego proporcjonalność i niezbędność oraz ocenić i zaadresować ryzyka wynikające z przetwarzania. W rezultacie – pozwoli budować zgodność danego procesu, a następnie ją wykazać (zasada rozliczalności).

Warto pamiętać, że DPIA nie jest jednorazową czynnością, lecz tzw. procesem iteracyjnym, czyli takim, w którym proces jest podzielony na różne kroki. Niejednokrotnie będziemy do nich wracać i je powtarzać, jeśli uzyskamy nowe informacje lub zmieni się sytuacja. Taki proces można przedstawić raczej jako okrąg niż linię prostą:

Źródło: Wytyczne Grupy Roboczej Art. 29. dotyczące oceny skutków dla ochrony danych (WP 248)

Monitoring GPS pracowników został uwzględniony w wykazie rodzajów operacji przetwarzania danych osobowych wymagających przeprowadzenia oceny skutków przetwarzania dla ich ochrony, stanowiącym załącznik do komunikatu Prezesa Urzędu Ochrony Danych Osobowych z dnia 17 czerwca 2019 r. (M.P. poz. 666). Spełnienie dwóch punktów zawartych w wykazie powoduje powstanie obowiązku przeprowadzenia DPIA. Niemniej trzeba odnotować, że zgodnie z wykazem „w niektórych przypadkach administrator danych może jednak uznać, że przetwarzanie spełniające tylko jedno z niżej wymienionych kryteriów będzie wymagało przeprowadzenia oceny skutków dla ochrony danych”.

W wytycznych dotyczących oceny skutków dla ochrony danych oraz pomagających ustalić, czy przetwarzanie „może powodować wysokie ryzyko” do celów rozporządzenia 2016/679 (WP 248 rev.01) Grupa Robocza art. 29 opisała dziewięć kryteriów. Spełnienie dwóch z nich oznacza, że operacja przetwarzania będzie uznana za operację powodującą wysokie ryzyko w rozumieniu art. 35 ust. 1 RODO. W przypadku monitoringu wizyjnego może być spełnione kryterium trzecie (systematyczne monitorowanie) oraz siódme (przetwarzanie danych osób wymagających szczególnej opieki). Dane lokalizacyjne mogą być również uznane za „wysoce osobiste” (kryterium czwarte). Oznacza to, że przeprowadzenie DPIA będzie obowiązkowe, ponieważ przetwarzanie polega na systematycznym monitorowaniu danych lokalizacyjnych pracownika, który jest tzw. osobą wymagającą szczególnej opieki, co wynika z nierównowagi stron stosunku pracy.

Na co zwrócić uwagę

W ramach DPIA administrator ma okazję zidentyfikować luki i ryzyka związane z przetwarzaniem. Na podstawie mojego doświadczenia i analizy decyzji organów nadzorczych wydaje się, że administratorzy najczęściej popełniają błędy w następujących kwestiach:

1. Brak oceny niezbędności i proporcjonalności

Administratorzy nie rozważają, czy dany cel można osiągnąć środkami mniej ingerującymi w prywatność pracownika, ani nie oceniają, czy ich interesy są nadrzędne wobec praw i wolności pracownika. Taką ocenę można przeprowadzić w ramach DPIA i testu równowagi na podstawie art. 6 ust. 1 lit. f RODO.

2. Brak konkretnego i wyraźnego celu, wykroczenie poza pierwotny cel

W niektórych wypadkach cel może być niejasny lub niekonkretny. Określenie celu jako np. „bezpieczeństwo pracowników” jest niewystarczające. Należy pamiętać również o ograniczeniu celu w stosunkach prawnopracowniczych.

Czasem może się pojawić pokusa wykorzystywania danych w innych celach niż do zapewnienia organizacji pracy umożliwiającej pełne wykorzystanie czasu pracy oraz właściwego użytkowania narzędzi pracy udostępnionych pracownikowi. Takim wykroczeniem poza pierwotny cel jest np. wykorzystywanie danych do oceny pracownika pod kątem stylu jazdy czy do oceny życia prywatnego pracownika (z czym związany jest kolejny punkt).

3. Naruszenie zasady minimalizacji danych

Częstym przykładem naruszenia zasady minimalizacji danych jest monitorowanie lokalizacji pojazdu poza godzinami pracy, w tym w czasie urlopu. W stosunkach pracowniczych jest bardzo mało prawdopodobne, że takie monitorowanie będzie uzasadnione. W przywoływanych wcześniej wytycznych WP 249 wskazano jednak możliwość rozwiązania tego problemu – wyłączanie monitoringu przez pracownika na czas załatwiania prywatnych spraw. Rekomendacja ta została powtórzona w wytycznych organu luksemburskiego i organu irlandzkiego.

W niektórych wypadkach monitoring czynny cały czas lub przez cały czas pracy pojazdu może być uzasadniony. W szczególności dotyczy to pojazdów typu pługopiaskarki czy śmieciarki, których wykorzystanie jest wyłącznie służbowe i dotyczy realizacji konkretnych, ograniczonych czasowo zadań.

4. Za długie przechowywanie danych

Powszechnym błędem jest brak zasad przechowywania danych lub za długie ich przechowywanie. Okres retencji danych osobowych może być wskazany w przepisach szczególnych (w Rumunii jest to tylko 30 dni!). W Polsce ustawodawca nie zdecydował się wskazać wprost okresu przechowywania, a zatem mają zastosowanie zasady ogólne. Dane osobowe pochodzące z systemu geolokalizacji mogą być przechowywane przez okres nie dłuższy, niż jest to niezbędne do celów, w których te dane są przetwarzane. Oznacza to, że okresy przechowywania mogą być różne w zależności od kategorii danych i celów, w których dane są przetwarzane.

Warto wskazać na decyzję nr 11FR/2021 luksemburskiego organu nadzoru (CNPD), której założenia uwzględniono również w wytycznych dotyczących geolokalizacji pojazdów udostępnianych pracownikom (wersja z 22 lutego 2023 r.). Z dokumentów tych wynikają następujące okresy retencji:

• co do zasady dane powinny być przechowywane przez 2 miesiące,
• jeśli dane są przetwarzane w celu weryfikacji czasu pracy, powinny być przechowywane przez 3 lata w zakresie przedawnienia roszczeń związanych z wypłatą wynagrodzenia (w sektorze publicznym 5 lat) – zgodnie z luksemburskim kodeksem cywilnym,
• jeśli dane są przetwarzane w celach związanych z rozliczeniami z klientami, powinny być przechowywane przez  1 rok, pod warunkiem że nie da się udowodnić świadczonych usług w inny sposób,
• w przypadku incydentów dane mogą być przechowywane dłużej w celu przekazania ich organom ścigania lub sądom.

Nie można jednak zapomnieć, że powyższe wskazówki zostały wydane z uwzględnieniem specyfiki prawnej Luksemburga. Mogą one jednak stanowić inspirację dla administratorów w Polsce.

5. Naruszenie zasady rzetelności i przejrzystości

Przetwarzanie danych lokalizacyjnych wciąż należy uznać za nową technologię, której wdrożenie wymaga szczególnej uwagi. Takie rozwiązania mogą nie być oczekiwane przez pracowników ani nie odpowiadać ich uzasadnionym oczekiwaniom. Dlatego istotne jest to, aby pracodawca podjął wszelkie niezbędne środki, uwzgledniające nierównowagę stron stosunku pracy, zwiększające autonomię jednostki, uczciwość i przejrzystość przetwarzania. Ten ostatni wymóg został opisany w części przejrzystość przetwarzania.

Warto pamiętać, że naruszenie zasady przejrzystości stanowi jedno z najczęstszych naruszeń zarzucanych przez organy nadzorcze.

6. Naruszenie art. 28 RODO (powierzenie danych) oraz zasad privacy by design i privacy by default

W większości przypadków pracodawca korzysta z narzędzi dostarczanych przez zewnętrznych dostawców. W ramach świadczenia swoich usług tacy dostawcy mogą mieć dostęp do danych pracowników i wykonywać na nich różne operacje przetwarzania.

Częstym błędem administratorów jest niezawarcie z dostawcą umowy powierzenia zgodnej z art. 28 RODO, a także brak kontroli nad realizowaniem powierzonych kategorii czynności przetwarzania. W mojej praktyce najczęściej spotykam się jednak z brakiem weryfikacji gwarancji procesora zarówno przed zawarciem umowy, jak i w trakcie jej trwania.

Zdarza się, że administratorzy nie włączają inspektora ochrony danych w proces wdrażania. Nie weryfikują także tego, czy wdrażane rozwiązanie gwarantuje integralność i poufność oraz możliwość realizacji pozostałych zasad przetwarzania danych osobowych lub praw z art. 15 –22 RODO. Powyższych kwestii nie bierze się pod uwagę również w toku wdrażania oprogramowania i instalowania sprzętu, co stanowi naruszenie zasady prywatności w fazie projektowania i domyślnej ochrony danych.

Dla przypomnienia:

Jeżeli opracowywane, projektowane, wybierane i użytkowane są aplikacje, usługi i produkty, które opierają się na przetwarzaniu danych osobowych albo przetwarzają dane osobowe w celu realizacji swojego zadania, należy zachęcać wytwórców tych produktów, usług i aplikacji, by podczas opracowywania i projektowania takich produktów, usług i aplikacji wzięli pod uwagę prawo do ochrony danych osobowych i z należytym uwzględnieniem stanu wiedzy technicznej zapewnili administratorom i podmiotom przetwarzającym możliwość wywiązania się ze spoczywających na nich obowiązków ochrony danych -  (motyw 78 RODO).

Podsumowanie

Monitorowanie lokalizacji każdej osoby, w tym pracownika, jest istotną ingerencją w jej prywatność. Dlatego konieczne jest to, aby wdrażanie monitoringu GPS odbywało się z poszanowaniem przepisów prawa pracy i RODO.

Przetwarzanie danych lokalizacyjnych pracowników musi być niezbędne do celów związanych z organizacją pracy pozwalającą na pełne wykorzystanie czasu pracy i z odpowiednim użytkowaniem powierzonych narzędzi. Niemniej trzeba uwzględnić, że mogą istnieć przepisy szczególne, które nakładają obowiązek monitorowania lokalizacji danego pojazdu.

Administrator powinien także przeprowadzić ocenę skutków dla ochrony danych, w której uwzględni opisane powyżej ryzyka.