Мониторинг на служители за HR директори — Microsoft 365, GPS, мейли и какво позволява законът
След пандемията и масовото преминаване към дистанционна работа, инструментите за наблюдение на служители станаха стандартна корпоративна практика — Microsoft 365 Productivity Score, GPS на служебни коли, мониторинг на имейл комуникация. Но колко от тези инструменти са законни в България? Отговорът е по-ограничителен, отколкото повечето HR директори очакват. Решенията на ЕСПЧ Bărbulescu и López Ribalda, насоките на ЕСЗД и КЗЛД позициите — заедно с чл. 107и КТ — определят строги граници. Това ръководство дава практически анализ за HR директори, юрисконсулти и длъжностни лица по защита на данните.
Съдържание
- Защо темата гори сега — дистанционна работа и AI
- Правна рамка — четирите източника
- 6-факторният тест на ЕСПЧ (Bărbulescu)
- Защо съгласието на служителите НЕ работи
- Microsoft 365 Productivity Score — какво е разрешено
- Видеонаблюдение на работното място
- GPS на служебни автомобили
- Мониторинг на имейл и електронни комуникации
- Чеклист за HR директора
- Често задавани въпроси
Защо темата гори сега — дистанционна работа и AI
След 2020 г. границата между „работна среда" и „личен живот" се размиха. Служителите работят от дома, използват служебни лаптопи за лични задачи и обратно. Работодателите реагираха с по-агресивни инструменти за наблюдение — от софтуер за проследяване на работното време софтуер до AI-базирани системи за оценка на производителността.
Резултатът: експлозия на КЗЛД жалби от служители. От годишния отчет на КЗЛД за 2024 г. видеонаблюдението остава водещ сектор по жалби, като значителна част са от служители срещу работодатели.
Цената на грешката
Глобите по чл. 83 GDPR за неправомерно обработване на данни на служители достигат до EUR 20 милиона или 4% от глобалния годишен оборот. Освен това: уволненият служител има право на обезщетение по чл. 82 GDPR; срещу нелоялно прекратяване по КТ — възстановяване и обезщетение за пропуснати ползи. Един неправомерно мониториран служител може да струва на компанията над EUR 100 000 в комбиниран риск.
Правна рамка — четирите източника
Мониторингът на служители се регулира от четири правни източника, които работят паралелно:
GDPR (Регламент 2016/679)
Чл. 6 (правни основания), чл. 9 (специални категории — здравни данни, биометрия), чл. 35 (DPIA при висок риск), чл. 88 (обработване в трудови отношения).
ЗЗЛД и Кодекс на труда
Чл. 25д ЗЗЛД (мащабно систематично видеонаблюдение), чл. 107и, ал. 3, т. 7 КТ (видеонаблюдение по необходимост), чл. 107к ЗЗЛД (срокове за съхранение на данни на кандидати).
ЕКПЧ — практика на ЕСПЧ
Чл. 8 ЕКПЧ (право на личен живот). Решения Bărbulescu v Romania (2017), López Ribalda v Spain (2019), Köpke v Germany — формират европейския стандарт.
EDPB / Работна група по член 29 насоки
Становище 2/2017 on data processing at work (WP249) — подробни правила за 9 категории мониторинг. Насоки 3/2019 на EDPB за видеонаблюдение.
6-факторният тест на ЕСПЧ (Bărbulescu)
Решението Bărbulescu v Romania на Голямата камара на ЕСПЧ от 5 септември 2017 г. постави фундаменталния тест за всеки мониторинг инструмент. Делото касаеше румънски служител, уволнен заради лични съобщения по служебен Yahoo Messenger акаунт. ЕСПЧ установи нарушение на чл. 8 ЕКПЧ.
Преди да внедрите кой да е инструмент за мониторинг, трябва да проверите шестте фактора:
- Уведомяване — Дали и как е уведомен служителят за естеството на мониторинга? Изричното, ясно и предварително уведомяване е почти задължителна предпоставка.
- Обхват и интрузия — Колко интрузивен е мониторингът? Чете ли само метаданни (време, обем) или съдържание? Постоянен ли е или таргетиран?
- Обоснованост — Какъв е легитимният интерес на работодателя? Конкретно посочен и пропорционален ли е?
- По-малко интрузивна алтернатива — Възможна ли е алтернатива с по-малка намеса в правата на служителя? (Технически контроли, обучение, политика и т.н.)
- Последици за служителя — Какво следва от мониторинга? Уволнение е тежка последица, която изисква по-висока пропорционалност.
- Процесуални гаранции — Какви защитни механизми са въведени? (Преглед от длъжностно лице, ограничен достъп, право на обяснение.)
Това не е препоръка — това е тест от ЕСПЧ
Шестте фактора не са препоръка. Те са правен тест, който всеки национален съд (включително български) трябва да прилага. Ако внедрите инструмент без документиран преглед на тези шест фактора и съответната оценка на въздействието по чл. 35 GDPR — изложени сте както пред КЗЛД, така и пред български съдилища при иск от служител по чл. 82 GDPR.
Защо съгласието на служителите НЕ работи
Една от най-честите HR грешки: „Ще накараме служителите да подпишат съгласие за мониторинг — и ще сме защитени." Не работи.
Работна група по член 29 (предшественик на EDPB) в Становище 2/2017 (WP249) изрично постанови:
„Служителите почти никога не са в позиция да дадат, откажат или оттеглят свободно съгласието си — поради зависимостта, която произтича от трудовото правоотношение."
— Работна група по член 29, WP249, юни 2017 г.
Това означава, че съгласието по чл. 6, ал. 1, б. „а" GDPR не е валидно правно основание в трудово правоотношение в почти всички случаи. Алтернативите:
- Законово задължение (чл. 6, ал. 1, б. „в") — например задължителна сигурност в производствени дейности с висок риск
- Легитимен интерес (чл. 6, ал. 1, б. „е") — с документиран тест за легитимен интерес (тест за легитимен интерес), показващ пропорционалност
- Изпълнение на договор (чл. 6, ал. 1, б. „б") — само за конкретни цели, изрично свързани с трудовия договор
За пълен анализ на правните основания, прочетете нашия материал за легитимния интерес и теста тест за легитимен интерес.
Microsoft 365 Productivity Score — какво е разрешено
През октомври 2020 г. Microsoft пусна функция „Productivity Score" в Office/Microsoft 365 — оценка от 100 точки, измерваща активността на всеки служител в комуникация, срещи, сътрудничество и мобилност. По данни на международни анализатори ((Computer Weekly — британско ИТ издание), Privacy International (международна организация за защита на личните права)), инструментът даваше на администраторите достъп до над 70 части детайлни данни за всеки служител, включително брой имейли, време в срещи и активност извън работно време.
Реакцията: вълна от критики през ноември-декември 2020 г. от Privacy International (международна организация за защита на личните права), журналисти и експерти по защита на данните. Microsoft бързо премахна индивидуалните идентификатори — днес Productivity Score показва само агрегирани данни на ниво организация.
„Активирам индивидуалните метрики — служителите не разбират"
Дори ако технически е възможно да се включат индивидуални идентификатори (чрез комбиниране с други инструменти, персонализирани скриптове), това е незаконно по GDPR без отделна оценка на въздействието и без ясна, пропорционална обосновка. КЗЛД и съдилищата няма да приемат „за повишаване на производителността" като легитимен интерес.
Какво е разрешено
Агрегирани данни на ниво организация (брой обаждания, общо време в срещи) — допустими за анализ на работните процеси и оптимизация. Никога свързани с индивидуални имена, никога за оценка на изпълнението на конкретен служител. Документирайте политиката, направете DPIA, информирайте екипа.
Видеонаблюдение на работното място
В България видеонаблюдението е регулирано основно от чл. 107и, ал. 3, т. 7 от Кодекса на труда и поредица позиции на КЗЛД. Основното правило: видеонаблюдението е допустимо само ако е необходимо — тоест, когато целта не може да се постигне с други средства.
Какво е допустимо
- Сигурност на сградата и имуществото — паркинги, входове, складове
- Специфични регулаторни изисквания — фармацевтична, химическа, ядрена индустрия
- Високорискови производствени дейности с риск за живота
- Кешови операции — банки, финансови институции (с ограничения)
Какво е НЕдопустимо (КЗЛД позиция)
- Оценка на изпълнението на трудовите задължения — категорично забранено
- Измерване на производителност или работно време като основна цел
- Камери в санитарни и почивни помещения — абсолютно забранени
- Камери, насочени към работни маси за наблюдение на служители
- Прекомерно дълго съхранение на записите (типично — до 30 дни)
Скрито видеонаблюдение — допустимо ли е?
В López Ribalda and Others v Spain (Голяма камара на ЕСПЧ, 17 октомври 2019 г., 14 на 3 гласа) Съдът призна, че скрито видеонаблюдение в работно помещение може да бъде допустимо — но само в строго ограничени случаи: при обосновано подозрение за престъпление (в случая — кражби в супермаркет), кратък период, ограничен обхват, и липса на по-малко интрузивна алтернатива.
López Ribalda не е „зелена светлина"
Решението НЕ означава, че работодателят може да слага скрити камери „за всеки случай". Стандартът остава много висок — необходимо е документирано подозрение за конкретно престъпление, ограничен период, преглед на алтернативите. Преди подобно действие — задължително юридическа консултация.
GPS на служебни автомобили
GPS на служебни коли е законен — но при стриктни условия. Работна група по член 29 в Становище 2/2017 (WP249) дава ясни насоки:
| Допустимо | Недопустимо |
|---|---|
| Проследяване на стоки/транспорт по логистична верига | Постоянно проследяване извън работно време |
| Оптимизация на маршрути | Проследяване в личния живот при разрешено лично ползване |
| Доказване на работно време при работа на терен | Записване на скорост, поведение на шофиране (за дисциплинарни цели) |
| Сигурност на ценен товар | Споделяне на местоположение с трети лица без основание |
Задължителни мерки: писмено информиране на служителя; ако автомобилът се ползва и за лични цели — техническа възможност за изключване на устройството в извънработно време; ясно ограничение на достъпа до данните; срок на съхранение пропорционален на целта (типично до 6 месеца).
Мониторинг на имейл и електронни комуникации
Bărbulescu v Romania установи фундаменталния стандарт: работодателят не може да чете лични съобщения, дори ако са изпратени през служебни системи, без ясно предварително уведомление и обоснован легитимен интерес.
Препоръчителна практика:
- Ясна политика, която различава служебни от лични съобщения, разпространена сред всички служители при наемане
- Технически контроли — например забрана на лични имейл домейни на служебни системи (gmail.com, abv.bg)
- Сканиране за зловреден софтуер и сигурност — допустимо, но без четене на съдържание
- При нужда от разследване — пропорционална, таргетирана проверка с участие на длъжностно лице по защита на данните и юрисконсулт
- Документация за всеки случай на достъп до имейл — кой, кога, защо
- Спазване на адвокатска и медицинска тайна, ако такава е приложима
Чеклист за HR директора
Преди внедряване на каквато и да е система за мониторинг на служители:
- Извършен 6-факторен тест по Bărbulescu — документиран писмено
- Извършена оценка на въздействието (DPIA) по чл. 35 GDPR за висок риск
- Документиран тест за легитимен интерес (тест за легитимен интерес) — ако ползвате чл. 6, ал. 1, б. „е"
- Писмено уведомяване на всички служители — преди внедряването
- Включване в трудовите договори / правилника за вътрешния трудов ред
- Консултация с длъжностно лице по защита на данните
- Преглед на алтернативи — поне 2 по-малко интрузивни опции, документирано
- Технически ограничения — изключване в извънработно време (за GPS)
- Срок на съхранение — пропорционален и документиран (обикновено 30 дни за видео)
- Контрол на достъпа — кой може да преглежда данните и кога
- Процедура за искания на субекти — как служител може да поиска копия
- Годишен преглед на необходимостта от продължаване на мониторинга
Често задавани въпроси
Може ли работодател да използва съгласие на служителите като правно основание за мониторинг?
По правило — не. Според Работна група по член 29 — Становище 2/2017 (WP249) служителите почти никога не са в позиция да дадат свободно съгласие, поради зависимостта от работодателя. Съгласието може да бъде оттеглено и това би оставило обработването без правно основание. Препоръчителните основания са: законово задължение (трудовото законодателство), легитимен интерес с тест за пропорционалност, или изпълнение на договор за конкретни цели.
Какво представлява 6-факторният тест на ЕСПЧ за мониторинг на служители?
В Bărbulescu v Romania (Голяма камара, 5 септември 2017 г.) ЕСПЧ установи 6 фактора за оценка на пропорционалността: (1) дали служителят е бил уведомен; (2) обхватът и степента на интрузия; (3) обоснованост на мониторинга; (4) възможност за по-малко интрузивен подход; (5) последиците за служителя; (6) процесуални гаранции. Всеки фактор се оценява поотделно.
Може ли HR директор да използва Microsoft 365 Productivity Score за оценка на служителите?
Не, ако е свързан с конкретен служител. След критиките през 2020 г. Microsoft премахна потребителските имена от Productivity Score. Сега инструментът показва само агрегирани данни на ниво организация. Ако HR директор активира индивидуални метрики или комбинира с други инструменти за идентифициране на служители — това е незаконно по GDPR без отделна оценка на въздействието и юридически анализ.
Кога е законно видеонаблюдение на работното място в България?
По чл. 107и, ал. 3, т. 7 от Кодекса на труда работодателят може да въведе видеонаблюдение, ако е необходимо. КЗЛД тълкува това като „когато целта не може да се постигне с други средства". Допустими цели: сигурност на сградата, защита на имущество, специфични регулаторни изисквания (фармация, химия, ядрена енергетика). НЕЗАКОННО е: оценка на изпълнението, измерване на производителността, контрол на работното време като основна цел. Камери в санитарни и почивни помещения са категорично забранени.
Може ли работодател да следи GPS-ите на служебните автомобили?
Да, но при стриктни условия. По Работна група по член 29, Становище 2/2017 GPS на служебни коли е допустимо за: проследяване на стоки/транспорт, оптимизация на маршрути, доказване на работно време при работа на терен. Задължително: писмено информиране на служителя, политика за изключване на устройството в извънработно време, забрана на проследяване в личния живот.
Може ли работодател да чете личните мейли на служители?
Не — дори ако са изпратени през служебен имейл. Bărbulescu v Romania категорично установи, че работодателят НЕ може да чете лични съобщения, дори да са на служебни системи, без ясно предварително уведомление и обоснован легитимен интерес. Препоръчителна практика: ясна политика, която различава служебни от лични съобщения; технически контроли; при нужда от разследване — пропорционална и таргетирана проверка с участие на длъжностно лице по защита на данните.
Тази статия отразява правното положение към 24 април 2026 г. Информацията е с информативен характер и не представлява правна консултация. За конкретно подпомагане при внедряване на инструмент за мониторинг, изготвяне на DPIA или защита при иск от служител, моля свържете се с нас.
Внедрявате нов инструмент за мониторинг? Получавате жалба от служител?
Помагаме на HR директори, юрисконсулти и съответствие екипи да внедрят инструменти за мониторинг законно — преди КЗЛД или съд да повдигне въпрос.
- 6-факторен тест по Bărbulescu — документиран писмено
- Оценка на въздействието (DPIA) за висок риск инструменти
- Тест за легитимен интерес (тест за легитимен интерес) с правна обосновка
- Шаблони за уведомяване на служители и адаптация на трудови договори
- Защита при искове от служители по чл. 82 GDPR и КТ
- Преглед на Microsoft 365, GPS системи, софтуер за проследяване на работното време софтуер
Получавайте нови анализи на корпоративна GDPR практика
Свежи разбори за HR директори, юрисконсулти и DPO в големи компании. Без спам.
Можете да се отпишете по всяко време. Политика за поверителност
Адв. Чолаков и адв. Димитрова консултират HR директори и юрисконсулти на над 90 компании в България — банки, телекоми, държавни органи, технологични фирми — за внедряване на инструменти за мониторинг и съответствие с практиката на ЕСПЧ, КЗЛД и Кодекса на труда.