Ponieważ kontrola zawsze może prowadzić do ujawnienia danych osobowych pracownika, należy ją realizować w sposób zgodny z ustawą z 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn. DzU z 2002 r. nr 101, poz. 926ze zm.). Stąd monitoring skrzynki elektronicznej wolno prowadzić, gdy istnieje ku temu prawnie uzasadniony cel. Przykładowo, szef chce skontrolować efektywność pracy podwładnych lub zbadać, czy przestrzegają zasad ochrony tajemnicy przedsiębiorstwa. Monitoring dopuszcza się także, aby zgromadzić dowody w sprawie przewinienia pracownika lub wykrycia sprawcy czynu naruszającego interes pracodawcy. Ponadto stosuje się go tylko w zakresie niezbędnym do osiągnięcia założonych celów. Wszelkie działania pracodawcy powinny więc uwzględniać zasadę proporcjonalności. Niezależnie od tego prowadzona kontrola nie może naruszać praw i wolności pracowników. Stąd stosowane środki monitoringu powinny w jak najmniejszym stopniu ingerować i naruszać ich prywatność.

Kontrolując pocztę pracowniczą, pracodawca staje się administratorem danych osobowych w ten sposób ujawnionych, co skutkuje nałożeniem na niego określonych wymogów. Musi przede wszystkim chronić dane przed ujawnieniem przez osobę nieupoważnioną oraz przed nielegalnym przetwarzaniem. Ma także zadbać o to, aby dostęp do danych miały wyłącznie osoby do tego uprawnione, czyli z pisemnym upoważnieniem. Dane osobowe należy przechować tylko przez czas niezbędny do osiągnięcia celu kontroli, a następnie usunąć.

Urzędy zezwalają

Prawo pracodawcy do kontroli służbowej poczty elektronicznej podwładnych aprobuje też Państwowa Inspekcja Pracy. Jednak podkreśla, że monitoring nie może mieć postaci zakazanej i sprzecznej z przepisami. Dodatkowo PIP wskazuje na konieczność poinformowania załogi o stosowanej kontroli i jej sposobach. Taką informację można podać w regulaminie pracy bądź w osobnym obwieszczeniu lub regulaminie dotyczącym tylko tego zakresu. Reguły kontroli powinny być jasne i przejrzyste dla załogi i w żadnym wypadku nie mogą naruszać zakazu dyskryminacji.

Warto też pamiętać, że w załączniku do rozporządzenia ministra pracy i polityki socjalnej z 1 grudnia 1998 r. w sprawie bezpieczeństwa i higieny pracy na stanowiskach wyposażonych w monitory ekranowe (DzU nr 148, poz. 973) ustawodawca zastrzegł, że kontrola jakościowa i ilościowa pracy na takich stanowiskach wymaga poinformowania o tym pracowników. Szef musi więc zawiadamić ich o planowanym monitoringu z użyciem systemu informatycznego, jeżeli jego celem jest sprawdzenie efektywności wykonania obowiązków.

W tej sprawie Ministerstwo Pracy i Polityki Społecznej w piśmie z 1 sierpnia 2007 r. (DPR I-0712-6/JS/MF/07) potwierdziło, że pracodawca może kontrolować zawartość służbowej skrzynki e-mailowej pracownika, czytać korespondencję służbową i udostępniać ją do wglądu innym zatrudnionym. Prawo do tak szeroko zakrojonego monitoringu resort wywodzi z tego, że ustawodawca nałożył na pracodawcę obowiązek organizowania pracy w sposób zapewniający pełne wykorzystanie czasu pracy (art. 94 pkt. 2 k.p.). Skoro więc szef ma za zadanie zadbać o sprawną organizację pracy, to musi mieć odpowiednie narzędzia. Niezbędne jest tu dopuszczenie kontroli służbowych skrzynek e-mailowych załogi.

Poza kontrolą szefa

Zarówno ustawa o ochronie danych osobowych, jak i stanowiska urzędów kładą szczególny nacisk na poszanowanie prywatności podwładnych. Prywatna korespondencja, choćby była wysyłana lub odbierana za pomocą służbowej skrzynki, pozostaje poza kontrolą szefa. Jeżeli mimochodem wszedłby on w posiadanie treści o charakterze osobistym, powinien niezwłocznie odstąpić od dalszego sprawdzania i nie ma prawa wykorzystywać informacji powziętych w taki sposób.

Konieczność poszanowania prywatności pracowników wynika także z przepisów kodeksu cywilnego o ochronie dóbr osobistych. Zarówno życie prywatne, jak i korespondencję zalicza się do katalogu dóbr osobistych, których naruszenie może skutkować odpowiedzialnością pracodawcy. Jeżeli monitoring stosowany jest w sposób bezprawny, pracownik ma prawo ubiegać się o jego zaniechanie, a gdy kontrola doprowadziła do powstania u niego szkody – domagać się roszczeń odszkodowawczych. W skrajnych wypadkach pracodawca może się nawet narazić na odpowiedzialność karną. Zgodnie z art. 267 kodeksu karnego, jeśli szef uzyska bez uprawnienia dane nieprzeznaczone nie dla niego, np. przez ominięcie informatycznego zabezpieczenia, może popełniać przestępstwo.

—Mariola Posiewka-Kowalska, prawnik w Baker & McKenzie