Biuro Porad Prawnych
Oskar Zacharski

ul. Żwirki i Wigury 33/43
26-600 Radom

NIP: 7962987711

600 784 526

o.zacharski@bppz.pl

Monitoring GPS pracowników a RODO. Co warto wiedzieć?

W erze cyfryzacji i rozwijających się technologii monitorowanie pracowników za pomocą GPS staje się powszechną praktyką. Pracodawcy korzystają z monitoringu GPS, by lepiej kontrolować czas pracy, sprawdzać, jak wykorzystywane są firmowe narzędzia pracy i pojazdy, a także aby dbać o bezpieczeństwo. Praktyka ta jednakże budzi istotne pytania dotyczące zgodności z RODO, ponieważ lokalizacja i trasa poruszania się pracownika stanowią dane osobowe i wchodzą w sferę jego prywatności. W niniejszym artykule omówimy, w jakich sytuacjach monitoring GPS jest dozwolony, jakie wymagania muszą spełnić pracodawcy oraz na co zwrócić uwagę, aby był on zgodny z RODO.

Dlaczego monitoring GPS pracowników może naruszać prywatność?

Śledzenie lokalizacji pracowników za pomocą GPS oznacza gromadzenie wrażliwych danych, które mogą ujawnić szczegóły z ich życia prywatnego, takie jak miejsce zamieszkania, przyzwyczajenia lub miejsca odwiedzane w czasie prywatnym. RODO określa lokalizację jako dane osobowe, a co więcej – może ona ujawnić informacje zaliczane do szczególnych kategorii danych (np. o zdrowiu, wyznaniu, stylu życia). Dlatego podstawą do przetwarzania takich danych może być jedynie prawnie uzasadniony interes pracodawcy, a monitoring może być realizowany wyłącznie wtedy, gdy jest absolutnie niezbędny dla osiągnięcia określonych, zgodnych z prawem celów.

Podstawy prawne monitoringu GPS w miejscu pracy

  1. Kodeks pracy i RODO: Monitoring GPS pracowników może być stosowany wyłącznie w ramach tzw. innego monitoringu pracowniczego, o którym mowa w art. 22 Kodeksu pracy. Przepis ten stanowi, że monitoring może być wdrożony tylko, gdy jest to niezbędne do organizacji pracy i prawidłowego wykorzystania powierzonych pracownikowi narzędzi. Tym samym, monitoring jest dozwolony w sytuacjach, gdy pracodawca pragnie dbać o organizację czasu pracy i skuteczne wykorzystanie zasobów, takich jak pojazdy firmowe.
  2. Brak zgody jako podstawy przetwarzania: Ze względu na nierównowagę stron w stosunku pracy, zgoda pracownika nie jest uznawana za odpowiednią podstawę prawną do monitorowania jego lokalizacji. Podstawą przetwarzania w tym kontekście jest więc prawnie uzasadniony interes pracodawcy (art. 6 ust. 1 lit. f RODO), pod warunkiem że przeprowadzono tzw. test równowagi, który wykazuje niezbędność i proporcjonalność przetwarzania danych.
  3. Przepisy sektorowe: W niektórych przypadkach przepisy szczególne (np. system SENT, który dotyczy przewozu towarów) mogą nakładać obowiązek stosowania monitoringu GPS. Takie przepisy regulują jednak monitorowanie pojazdów, a nie osób – dlatego pracodawca, który chce monitorować pracowników w innych celach, musi spełnić dodatkowe wymogi wynikające z RODO.

Test równowagi jako podstawa do wprowadzenia monitoringu GPS

Przed wdrożeniem monitoringu pracodawca powinien wykonać tzw. test równowagi, aby ustalić, czy prawnie uzasadniony interes pracodawcy rzeczywiście przeważa nad prawem pracownika do prywatności. W teście tym należy uwzględnić m.in.:

  • specyfikę stosunku pracy, uwzględniając fakt, że istnieje tu nierównowaga stron,
  • zapewnienie przejrzystości przetwarzania danych,
  • ograniczenie przetwarzania danych do minimum (zasada minimalizacji danych).

Test równowagi może być załącznikiem do Oceny Skutków dla Ochrony Danych (DPIA), wymaganej w przypadku wysokiego ryzyka naruszenia praw lub wolności osób.

Wdrożenie monitoringu GPS prcowników zgodnie z Kodeksem pracy

Aby monitoring GPS był zgodny z przepisami, pracodawca powinien spełnić następujące wymagania:

  1. Przejrzystość i informowanie pracowników: Pracodawca powinien w regulaminie pracy, układzie zbiorowym lub innym dokumencie firmowym poinformować pracowników o celu, zakresie oraz sposobie zastosowania monitoringu GPS. Informacja powinna zawierać:
    • cel monitoringu (np. organizacja pracy, kontrola czasu pracy),
    • zakres danych, jakie będą przetwarzane i czas ich przechowywania,
    • sposób działania monitoringu: narzędzia, kto ma dostęp do danych i jak je wykorzystuje.
  2. Przekazanie informacji z wyprzedzeniem: Na dwa tygodnie przed rozpoczęciem monitoringu pracownicy powinni zostać poinformowani o jego wdrożeniu, a przed dopuszczeniem do pracy otrzymać na piśmie wszelkie niezbędne informacje, które powinny być przechowywane w ich aktach.
  3. Oznaczenie pojazdów: Pojazdy objęte monitoringiem powinny być wyraźnie oznaczone, np. za pomocą piktogramu, w sposób widoczny dla kierowcy. Tabliczka informacyjna może być również umieszczona w schowku pojazdu lub na stronie internetowej pracodawcy.
Przed wdrożeniem monitoringu pracodawca powinien wykonać tzw. test równowagi (LIA) oraz ocenę skutków (DPIA)

Przejrzystość przetwarzania

Pracodawca, zgodnie z art. 12 RODO, powinien zapewnić przejrzystość w przetwarzaniu danych, co oznacza przekazywanie zwięzłych, przejrzystych i łatwo dostępnych informacji na temat monitoringu GPS.

Oznacza to, że pracownicy powinni w dowolnej chwili mieć dostęp do informacji o geolokalizacji i szczegółach przetwarzania danych. Można to osiągnąć, np. umieszczając tabliczkę informacyjną na wysokości oczu kierowcy, stosując ikonki i komunikaty świetlne informujące o aktywności rejestratora GPS.

Ocena Skutków dla Ochrony Danych (DPIA)

Jeśli monitoring GPS wiąże się z wysokim ryzykiem naruszenia prywatności pracownika, należy przeprowadzić DPIA. Ocena ta powinna obejmować:

  • opis procesu przetwarzania i jego celów,
  • ocenę proporcjonalności i niezbędności przetwarzania,
  • analizę ryzyk dla pracowników i środków zabezpieczających ich prawa.

DPIA nie jest jednorazowym działaniem, lecz procesem iteracyjnym, co oznacza, że w przypadku zmiany sytuacji lub uzyskania nowych informacji, należy wracać do oceny i dokonywać jej aktualizacji.

Zasady minimalizacji danych i retencji

  1. Minimalizacja danych: Monitoring lokalizacji pracownika nie powinien być stosowany poza godzinami pracy, np. podczas urlopów lub w czasie przerwy. W sytuacji, gdy jest to możliwe, monitoring GPS powinien być wyłączany na czas prywatnych spraw.
  2. Okres retencji danych: RODO nie precyzuje długości okresu przechowywania danych z GPS, dlatego pracodawcy powinni określić okresy retencji zgodne z celem przetwarzania. Przykładowo, dane o czasie pracy mogą być przechowywane maksymalnie 3 lata, aby umożliwić ewentualne dochodzenie roszczeń, natomiast inne dane powinny być usuwane po krótszym okresie.

Monitorowanie zgodne z zasadami privacy by design i privacy by default

Zgodnie z RODO, pracodawca powinien wdrażać rozwiązania monitorujące zgodnie z zasadami privacy by design i privacy by default, co oznacza, że ochrona prywatności powinna być uwzględniona już na etapie projektowania systemu. W praktyce oznacza to:

  • zawarcie umowy powierzenia przetwarzania danych z dostawcą technologii monitorującej (zgodnie z art. 28 RODO),
  • zapewnienie integralności i poufności danych, np. przez ograniczenie dostępu do danych wyłącznie dla upoważnionych osób,
  • regularne audyty systemu w celu weryfikacji zgodności z RODO.

Podsumowanie

Monitoring GPS w miejscu pracy jest narzędziem, które może znacząco usprawnić organizację pracy i kontrolę czasu pracy. Pracodawcy, wdrażając monitoring GPS, muszą jednak pamiętać o przestrzeganiu przepisów RODO oraz Kodeksu pracy, zwłaszcza w zakresie ochrony prywatności pracowników. Przejrzystość działań, minimalizacja danych i zapewnienie odpowiednich środków bezpieczeństwa to elementy kluczowe dla zapewnienia zgodności monitoringu GPS z przepisami RODO.

| Redakcja BPPZ