Regulamin monitoringu pracy zdalnej

Regulamin monitoringu pracy zdalnej w Polsce to wewnętrzny akt pracodawcy, który na podstawie art. 22³ ustawy z dnia 26 czerwca 1974 r. — Kodeks pracy (t.j. Dz.U. 2023 poz. 1465 ze zm.) oraz przepisów rozporządzenia RODO (Dz.Urz. UE L 119 z 4.05.2016 r.) określa zasady, cele i zakres kontrolowania pracowników wykonujących pracę zdalną lub hybrydową. Pracodawca może stosować monitoring pracy zdalnej wyłącznie po uprzednim ustaleniu jego celów i zakresu w regulaminie pracy lub układzie zbiorowym, a w przypadku braku tych aktów — w obwieszczeniu (art. 22³ § 1 KP).

Praca zdalna, uregulowana w rozdziale IIc działu drugiego KP (art. 67¹⁸–67³⁴ KP), wprowadzonym nowelizacją z 7 kwietnia 2023 r., stworzyła nowe wyzwania dla kontroli pracowniczej. Pracodawca ma prawo przeprowadzić kontrolę wykonywania pracy zdalnej, w zakresie wskazanym przez art. 67²⁶ KP: weryfikacja wykonywania pracy, przestrzeganie zasad BHP oraz przestrzeganie wymogów bezpieczeństwa i ochrony informacji, w tym danych osobowych. Kontrola odbywa się w porozumieniu z pracownikiem i nie może naruszać prywatności jego i domowników.

Regulamin monitoringu pracy zdalnej precyzuje, jakie narzędzia techniczne pracodawca stosuje: rejestracja logowań, monitoring aktywności komputerowej, monitoring służbowej poczty elektronicznej, wideokonferencje. Monitoring musi być proporcjonalny (art. 5 ust. 1 lit. c RODO — zasada minimalizacji danych) i służyć wyłącznie uzasadnionym celom — kontrola wykonywania pracy, bezpieczeństwo informacji, ciągłość działania systemów — nie może być stosowany jako narzędzie inwigilacji pracownika.

Wzorzec regulaminu monitoringu pracy zdalnej dostępny na forms-legal.com obejmuje: rodzaje stosowanego monitoringu, cele i podstawy prawne, okres przechowywania danych, katalog osób z dostępem do danych, prawa pracownika wynikające z RODO oraz dane Inspektora Ochrony Danych (IOD).

Regulamin monitoringu pracy zdalnej w Polsce jest wymagany każdorazowo, gdy pracodawca stosuje lub planuje stosować jakąkolwiek formę elektronicznej kontroli pracowników zdalnych. Art. 22³ § 1 KP wyraźnie uzależnia legalność monitoringu od uprzedniego ustalenia jego celów i zakresu w regulaminie pracy lub równoważnym akcie wewnętrznym.

Dokument jest niezbędny w następujących sytuacjach. Po pierwsze — gdy firma wdraża narzędzia do monitorowania aktywności pracowników zdalnych (time-tracking software, employee monitoring tools), takie jak Hubstaff, Time Doctor, Teramind lub podobne. Uruchomienie takich narzędzi bez podstawy w regulaminie narusza art. 22³ KP i RODO — Prezes Urzędu Ochrony Danych Osobowych (PUODO) może nałożyć karę administracyjną do 20 mln EUR.

Po drugie — gdy pracodawca wymaga od pracowników zdalnych logowania do systemów CRM, ERP lub komunikatorów firmowych, a systemy te rejestrują czas i częstotliwość logowań. Rejestracja logowań jest formą monitoringu objętą wymogami art. 22³ KP, nawet jeżeli jej głównym celem jest zarządzanie dostępem, nie kontrola pracownika.

Po trzecie — gdy pracodawca stosuje monitoring służbowej poczty elektronicznej. Art. 22³ § 4 KP wprost wymaga, aby monitoring poczty elektronicznej był określony w regulaminie lub układzie zbiorowym pracy. Brak tego wpisu naraża pracodawcę na zarzut naruszenia tajemnicy korespondencji pracownika.

Po czwarte — przy wdrożeniu systemów MDM (Mobile Device Management) umożliwiających zdalny nadzór nad urządzeniami pracowników. Monitoring urządzeń pracowniczych poprzez MDM jest dopuszczalny, lecz wymaga odrębnej zgody pracownika i podstawy regulaminowej.

Regulamin monitoringu pracy zdalnej w Polsce powinien zawierać następujące elementy kluczowe:

Rodzaje monitoringu. Wyczerpująca lista stosowanych narzędzi i metod: rejestracja logowań, monitoring aktywności (keystroke logging, screen capture), monitoring poczty służbowej, monitoring wideo (wideokonferencje z obowiązkową kamerą), monitoring przez MDM. Stosowanie monitoringu nieobjętego regulaminem jest bezprawne.

Cele monitoringu. Każdy rodzaj monitoringu musi mieć uzasadniony cel — kontrola wykonywania pracy, bezpieczeństwo informacji, ochrona danych osobowych przetwarzanych przez pracodawcę (art. 22³ § 1 KP). Monitoring dla samego monitoringu jest sprzeczny z zasadą minimalizacji danych (art. 5 ust. 1 lit. c RODO).

Okres przechowywania danych. Dane z monitoringu wizyjnego nie mogą być przechowywane dłużej niż 3 miesiące (art. 22² § 3 KP). Dane z innych form monitoringu powinny być przechowywane przez okres niezbędny do realizacji celu — zazwyczaj nie dłużej niż 3-6 miesięcy.

Katalog osób z dostępem. Ograniczony, zidentyfikowany krąg osób uprawnionych do wglądu w dane z monitoringu — bezpośredni przełożony, dział IT, IOD. Każdy dostęp powinien być odnotowany.

Prawa pracownika (RODO). Informacja o prawie dostępu do danych (art. 15 RODO), sprostowania (art. 16), ograniczenia przetwarzania (art. 18), wniesienia sprzeciwu (art. 21) i wniesienia skargi do PUODO (art. 77 RODO).

Informacja o IOD. Dane kontaktowe Inspektora Ochrony Danych (IOD) — wymagane przez art. 13 ust. 1 lit. b RODO.

Gwarancje dla pracownika. Zakaz monitorowania poza godzinami pracy, zakaz monitorowania prywatnych urządzeń i korespondencji, prawo pracownika do zapoznania się z wynikami monitoringu przed podjęciem decyzji dyscyplinarnych.

Na platformie forms-legal.com wzorzec regulaminu monitoringu jest uzupełniony o odrębne „Klauzula informacyjna RODO dla pracownika” i „Polityka prawa do odłączenia”.

Wypełnianie wzoru regulaminu monitoringu pracy zdalnej pobranego z forms-legal.com przebiega w kilku krokach.

Krok 1 — dane pracodawcy. Wpisz pełną nazwę firmy, adres siedziby i planowaną datę wejścia regulaminu w życie. Pamiętaj o 2-tygodniowym vacatio legis od dnia ogłoszenia pracownikom (art. 104³ § 1 KP).

Krok 2 — rodzaje monitoringu. Odpowiedz na pytania TAK/NIE dla każdej formy monitoringu. Zaznaczaj wyłącznie te, które faktycznie stosujesz lub planujesz stosować. Monitoring niezaznaczony w regulaminie nie może być stosowany nawet incydentalnie.

Krok 3 — cel monitoringu. Wpisz pełną listę celów dla każdego stosowanego rodzaju monitoringu. Cele muszą być realistyczne i uzasadnione potrzebami pracodawcy. Przykłady dobrych celów: „zapewnienie bezpieczeństwa danych klientów przetwarzanych w systemie CRM”, „weryfikacja wykonywania pracy w systemach ERP”. Przykłady niedopuszczalnych celów: „ogólna inwigilacja pracownika”, „rejestracja wszystkich czynności pracownika”.

Krok 4 — okres przechowywania. Wpisz liczbę miesięcy. Zalecamy 3 miesiące jako zasadę ogólną — jest zgodne z limitem dla monitoringu wizyjnego (art. 22² § 3 KP) i odpowiada zasadzie minimalizacji danych RODO.

Krok 5 — dostęp do danych. Wymień konkretne stanowiska (nie imiona — zmiana pracownika na stanowisku nie wymaga zmiany regulaminu). Ogranicz listę do minimum niezbędnego.

Krok 6 — IOD. Wpisz imię i nazwisko lub adres e-mail Inspektora Ochrony Danych. Jeżeli firma nie ma obowiązku wyznaczenia IOD (art. 37 RODO), pomiń lub wpisz „firma nie powołała IOD — kontakt z administratorem: [adres e-mail zarządu]".

Krok 7 — konsultacja ze związkami. Regulamin stanowiący część regulaminu pracy wymaga uzgodnienia z zakładową organizacją związkową (art. 104² § 1 KP — 30 dni na zajęcie stanowiska).

Krok 8 — poinformowanie pracowników. Przekaż regulamin wszystkim pracownikom na piśmie lub elektronicznie przed rozpoczęciem stosowania monitoringu (art. 22² § 8 KP).

Regulamin monitoringu pracy zdalnej w Polsce podlega następującym bezwzględnie obowiązującym przepisom:

Art. 22² KP — monitoring wizyjny. Pracodawca może stosować monitoring wizyjny wyłącznie w celu zapewnienia bezpieczeństwa, ochrony mienia, kontroli produkcji lub zachowania tajemnicy. Monitoring nie może obejmować pomieszczeń sanitarnych, szatni, stołówek i palarni bez szczególnego uzasadnienia. Nagrania z monitoringu wizyjnego przechowuje się nie dłużej niż 3 miesiące. Podstawa musi być określona w regulaminie pracy lub układzie zbiorowym.

Art. 22³ KP — monitoring poczty i systemów IT. Monitoring służbowej poczty elektronicznej jest dopuszczalny wyłącznie w celu zapewnienia organizacji pracy umożliwiającej pełne wykorzystanie czasu pracy oraz prawidłowego użytkowania narzędzi pracy. Zakres i cel muszą być określone w regulaminie. Monitoring poczty nie może naruszać tajemnicy korespondencji pracownika ani jego dóbr osobistych.

Art. 67²⁶ KP — kontrola pracy zdalnej. Pracodawca uprawniony jest do kontroli pracy zdalnej w miejscu jej wykonywania, w zakresie: wykonywania pracy, BHP i bezpieczeństwa informacji. Kontrola odbywa się w godzinach pracy pracownika i w uzgodnionym terminie. Zakres elektronicznego monitoringu podczas pracy zdalnej musi być zawarty w regulaminie.

RODO — art. 5, 13, 32-33. Zasady przetwarzania danych z monitoringu: zgodność z prawem, ograniczenie celu, minimalizacja danych, ograniczenie przechowywania, integralność i poufność (art. 5 RODO). Pracodawca jako administrator danych jest obowiązany przekazać pracownikowi klauzulę informacyjną RODO przed rozpoczęciem przetwarzania jego danych (art. 13 RODO). W razie naruszenia ochrony danych — zgłoszenie do PUODO w 72 godziny (art. 33 RODO).

Zasada proporcjonalności. Każda forma monitoringu musi być proporcjonalna do zamierzonego celu — monitoring aktivności komputerowej co 30 sekund jest zazwyczaj nieproporcjonalny i może naruszać godność pracownika (art. 11¹ KP).

Przy tworzeniu i wdrażaniu regulaminu monitoringu pracy zdalnej w Polsce najczęściej popełniane są następujące błędy:

1. Brak regulaminu przy stosowaniu monitoringu. Wdrożenie narzędzi do monitorowania aktywności pracowników bez podstawy regulaminowej narusza art. 22³ KP. Inspektor PIP może nakazać natychmiastowe zaprzestanie monitoringu i nałożyć mandat. PUODO może nałożyć karę administracyjną za naruszenie RODO.

2. Monitoring poza godzinami pracy. Pracodawcy konfigurujący narzędzia time-trackingowe do rejestracji aktywności 24/7 naruszają prawo do odłączenia (art. 67²⁷ KP) i zasadę minimalizacji danych RODO. Monitoring powinien być ograniczony do godzin pracy pracownika.

3. Brak klauzuli informacyjnej RODO. Pracodawca stosujący monitoring pracy zdalnej jest obowiązany przekazać pracownikowi pełną informację o przetwarzaniu jego danych w związku z monitoringiem (art. 13 RODO). Brak klauzuli to naruszenie RODO niezależnie od tego, czy regulamin jest poprawny.

4. Nadmierny zakres monitoringu. Monitoring aktywności komputerowej obejmujący rejestrację wszystkich naciśnięć klawiszy (keystroke logging) i częste zrzuty ekranu (screen capture) jest nieproporcjonalny i narusza godność pracownika (art. 11¹ KP). PUODO może nakazać zaprzestanie nadmiernego monitoringu.

5. Przechowywanie danych dłużej niż wymagane. Dane z monitoringu przechowywane przez lata naruszają zasadę ograniczenia przechowywania (art. 5 ust. 1 lit. e RODO). Brak procedury automatycznego usuwania danych po upływie okresu retencji naraża pracodawcę na karę PUODO.