Podle Evropského soudu pro lidská práva (dále ELSP) nemusí zákaz využívání pracovních prostředků (vozidel, mobilních telefonů, pracovních počítačů a přístupu k internetu) pro soukromé účely zaměstnavatele automaticky opravňovat ke sledování těchto prostředků. Podle rozhodnutí ESLP i názoru WP29 v takovém případě může převážit právo zaměstnance na soukromí nad oprávněným zájmem zaměstnavatele vědět, jak jeho zaměstnanci tráví pracovní dobu anebo využívají svěřené prostředky.
Notifikace zaměstnanců před zahájením monitorování
Před zahájením každého monitorování zaměstnanců by měli být zaměstnanci dostatečně jasně informováni o tom, že zaměstnavatel jejich chování bude monitorovat, jakým způsobem a v jakém rozsahu.
Je vhodné celý proces monitorování popsat ve vnitrofiremní dokumentaci s jejíž obsah je součástí nástupního, periodického nebo mimořádného školení zaměstnanců s výstupem (podepsaný certifikát nebo prezenční listina), který prokazatelným způsobem potvrzuje seznámení zaměstnance.
Rozsah sledování by neměl nepřiměřeně zasahovat do soukromí
Zásah do soukromí musí být vždy proporcionální zájmu zaměstnavatele, pro jehož ochranu zvolil formu monitorování. Proto je vhodné při implementaci interního monitoringu implementovat řešení minimalizující zásad do soukromí zaměstnanců. Relevantní též může být např. limitace monitoringu pouze těch emailů, které se zaměstnanec pokouší odeslat, ačkoliv byl při prvním pokusu systémem upozorněn na citlivost údajů v emailu obsažených. V případě ochrany majetku zaměstnance před internetovými viry lze např. plošně blokovat přístup na konkrétní weby místo monitoringu užívání internetu zaměstnanci či umožnit zaměstnancům přístup k internetu prostřednictvím nemonitorovaného přístupu na jiné WiFi síti a/nebo na jiném koncovém zařízení (počítače, tablety) než ty používané pro pracovní účely.
Důkladná analýza a zvážení jiných prostředků bez zásahu do soukromí
Před zahájením monitorování by měl zaměstnavatel provést důkladnou analýzu toho, jaká aktiva a činnosti chce monitorováním zaměstnanců chránit. V některých případech je zásah dokonce vyvolán plněním zákonné povinnosti (např. v oblasti kybernetické bezpečnosti ve vztahu k hlášení incidentů či povinnosti zajistit bezpečnost zaměstnanců) případně pak povinnosti smluvní (např. závazek zpracovatele osobních údajů vůči správci). Při analýze by měl zaměstnavatel vždy zvážit, zda nelze zájmy či majetek chránit jiným způsobem než monitorováním zaměstnanců. Názor WP29 uvádí, že zaměstnavatel by měl před zahájením monitorování provést formalizované posouzení vlivu na ochranu osobních údajů podle článku 35 GDPR. Posouzení vlivu je podle názoru WP29 nutné provést zejména před zavedením vzdáleného sledování polohy pracovních zařízení (mobilních telefonů, laptopů či monitoringu využívání internetu zaměstnanci).
Důsledky pro zaměstnance
Při nastavení jakéhokoliv monitorování zaměstnanců by měl zaměstnavatel vždy dbát na dopad do soukromí zaměstnanců a omezit jej na co nejmenší míru, případně omezit lhůtu uchovávání osobních údajů jen po nezbytně nutnou dobu. Dalším možným opatřením je omezit přístup k těmto informacím pouze na situace, kdy dojde k bezpečnostnímu incidentu nebo pouze po notifikaci zaměstnance. V případě GPS monitorování služebních vozidel, která mohou zaměstnanci používat také pro soukromé účely by měl mít zaměstnanec možnost vypnout monitorování (tzv. opt-out režim) v případech, kdy vozidlo využívá pro soukromé účely.
Monitorování zaměstnanců není vyloučeno, ale je možné jej ve světle vývoje právního rámce zavést pouze za relativně striktních podmínek (zejména předem informovat dostatečně zaměstnance o sledování a jeho rozsahu) a pouze na základě důkladné analýzy alternativních prostředků sloužících k zajištění oprávněného zájmu.
Zdroj: https://pierstone.com