Dostęp do służbowej poczty e-mail pracownika – jakie w tym zakresie uprawnienia posiada pracodawca?
Dla wielu pracodawców tytułowe pytanie może zabrzmieć osobliwie, aczkolwiek jest jak najbardziej uzasadnione i ma bardziej retoryczny charakter. Prawdą jest bowiem, że pracodawca jest właścicielem (licencjobiorcą, użytkownikiem itp.) narzędzi, z których korzysta jego organizacja i powinien móc sprawować nad nimi kontrolę, poza tym treść informacji przetwarzanych przez pracowników jest dla niego istotna z perspektywy biznesowej. Musi on mieć jednocześnie na uwadze, iż z perspektywy orzecznictwa, możliwość dostępu do poczty e-mail (służbowej) pracownika nie ma bezwarunkowego charakteru. Ale po kolei.
Dostęp, monitoring a przepisy prawne
Przez dostęp rozumiemy jednorazowe lub wielokrotne logowanie się do narzędzia poczty e-mail – czy to z wykorzystaniem klienta poczty (program „pocztowy”) czy z poziomu przeglądarki internetowej („webowo”). Przychodzi nam tutaj z pomocą również Słownik języka polskiego PWN, gdzie za dostęp uznaje się m.in. „sposób sięgania do zasobów pamięci systemów komputerowych”. Nie ma tutaj znaczenia, czy pracodawca wykonuje te czynności osobiście, czy za pomocą innych pracowników (np. zespół administratorów sieci IT w firmie). Monitoring jest również jakiegoś rodzaju dostępem, ma on jednak trochę inny charakter. Zgodnie ze Słownikiem języka polskiego PWN, przez „monitoring” rozumiemy stałą obserwację i kontrolę jakichś procesów lub zjawisk czy stały nadzór nad jakimś obiektem chronionym. W przypadku poczty elektronicznej i innych podobnych narzędzi, monitoring implikuje konieczność wykorzystania jakiegoś systemu (zazwyczaj innego narzędzia IT), który będzie wykorzystany w tym celu. Tak rozumiany monitoring został uregulowany wprost w Kodeksie pracy (art. 22[3]) i posiada swój punkt odniesienia w RODO (w art. 88 ust. 2 RODO jest mowa o „systemach monitorujących w miejscu pracy”). Zgodnie z przepisami Kodeksu pracy, jeżeli jest to niezbędne do zapewnienia organizacji pracy umożliwiającej pełne wykorzystanie czasu pracy oraz właściwego użytkowania udostępnionych pracownikowi narzędzi pracy, pracodawca może wprowadzić kontrolę służbowej poczty elektronicznej pracownika (monitoring poczty elektronicznej). Monitoring poczty elektronicznej nie może naruszać tajemnicy korespondencji oraz innych dóbr osobistych pracownika. Takiej regulacji brakuje w odniesieniu do zwykłego dostępu, tj. bieżącej kontroli którą „ręcznie” chciałby przeprowadzić pracodawca (np. poprzez okazjonalne zalogowanie się do systemu poczty lub innego narzędzia (np. komunikatora) wykorzystywanego w miejscu pracy. Przepisy są ukształtowane w taki sposób, że pracodawca – jak wskazano wyżej – musi mieć możliwość sprawowania kontroli w miejscu pracy nad procesami, które mają miejsce w firmie. Pracownik posiada z kolei prawo do ochrony swojej prywatności (w tym tajemnicy korespondencji) czy godności (i innych dóbr osobistych), z drugiej strony zaś ciąży na nim obowiązek lojalności względem pracodawcy i dbania o dobro zakładu pracy. Czy te ogólne założenia są wystarczające do przedstawienia rekomendacji jak powinien działać pracodawca w zakresie dostępu do poczty e-mail pracownika?
Orzecznictwo
Bogatego orzecznictwa w tym zakresie dostarcza nam, co ciekawe, Europejski Trybunał Praw Człowieka, który tą problematyką zajmuje się od lat. Trybunał nie odróżniał aż tak precyzyjnie narzędzi kontrolnych (tj. dostęp a monitoring), dlatego warto przytoczyć orzecznictwo odnoszące się generalnie do tej tematyki.
Zgodnie z ukształtowaną linią orzeczniczą w tym obszarze, mocno podkreślane są prawo do prywatności i tajemnica korespondencji pracownika. W wyroku z 2007 roku, Trybunał stwierdził, że podstawowym warunkiem legalności stosowania monitoringu jest poinformowanie pracownika o stosowaniu monitoringu (sprawa Copland przeciwko Zjednoczonemu Królestwu). Następnie Trybunał uznał (wyrok z 2008 roku), że rozmowy telefoniczne prowadzone podczas pracy są objęte pojęciem „życia prywatnego” i „korespondencji”. W pewnych okolicznościach monitorowanie korzystania przez pracownika z telefonu, e-maila lub Internetu w miejscu pracy może być konieczne w realizacji uprawnionego celu, jednak muszą do tego istnieć podstawy prawne w prawie krajowym, a ochroną powinny być także objęte e-maile wysyłane z pracy oraz informacje uzyskane w drodze monitoringu osobistego korzystania z Internetu (wyrok z września 2017 r. w sprawie Bărbulescu przeciwko Rumunii).
Z drugiej strony, w orzecznictwie pojawiają się również przykłady, kiedy pracodawca może stosować monitoring lub mieć dostęp do poczty elektronicznej pracownika, nawet bez jego wiedzy. Jedną z takich sytuacji będzie stan, w którym zachodzi uzasadnione podejrzenie poważnych uchybień pracowniczych oraz ryzyko dużych strat finansowych, a celu monitoringu nie da się osiągnąć za pomocą monitoringu innego niż ukryty (sprawa López Ribalda i inni przeciwko Hiszpanii z 2013 roku). Również w sztandarowej w tym obszarze sprawie Bărbulescu przeciwko Rumunii Trybunał stwierdził – niezależnie od poszanowania praw pracownika – iż ochrona interesu pracodawcy uzasadnia przeglądanie poczty służbowej pracownika w zakresie, w jakim jest to uzasadnione interesem pracodawcy, a prawo pracownika do prywatności doznaje w tym zakresie ograniczeń uzasadnionych ochroną interesów pracodawcy. W tym kontekście warto również odnieść się do sprawy Köpke przeciwko Niemcom, gdzie już w 2010 roku Trybunał uznał za niedopuszczalną, jako oczywiście bezzasadną, skargę złożoną przez skarżącą (kasjerkę w supermarkecie) dotyczącą niejawnego środka nadzoru wideo wdrożonego przez jej pracodawcę przy pomocy prywatnej agencji detektywistycznej. Trybunał zauważył w szczególności, że kwestionowany środek był ograniczony w czasie (dwa tygodnie) i obejmował jedynie obszar dostępny dla publiczności wokół kasy oraz że uzyskane dane wideo zostały przetworzone przez ograniczoną liczbę osób pracujących dla agencji detektywistycznej i pracowników pracodawcy oraz że zostały one wykorzystane wyłącznie w ramach postępowania w sprawie zwolnienia skarżącej i postępowania przed sądem pracy.
Wnioski dla Pracodawców? Orzecznictwo pokazuje, że zagadnienie kontroli poczty e-mail pracowników i innych miejsc wymiany informacji, jak komunikatory czy czaty internetowe – oczywiście w infrastrukturze firmowej – nie jest zagadnieniem trywialnym. Można jednak sformułować w regulaminach wewnętrznych zasady, którymi będzie kierował się pracodawca, który tę kontrolę będzie wykonywał – wtedy pracownicy będą o tym w pełni poinformowani i nie będą mieli wątpliwości w tym zakresie. Niektórzy pracodawcy obawiają się wprowadzać tego rodzaju zapisy w regulaminach, gdyż podnoszą, że wtedy pracownicy mogą mieć przekonanie, że pracodawca na bieżąco przegląda ich meile, co może psuć atmosferę pracy. Jest to oczywiście kwestia podejścia i wewnętrznej kultury organizacji, jednak należy pamiętać o tym, że firma działa w obszarze biznesowym i informacje przetwarzane przez pracowników są jej potrzebne. W takich przypadkach pracodawca może nadal dokonywać kontroli poczty pracownika, jeżeli posiada chociażby uzasadnione obawy co do np. lojalności pracownika, a więc wgląd będzie konieczny ze względów bezpieczeństwa, w tym z perspektywy ciągłości działania organizacji i tzw. business continuity (np. choroba lub innego rodzaju nieobecność pracownika).
Rafał Malujda – radca prawny, rzecznik patentowy, audytor wiodący systemu ISO 27001