Проследяване на служители и GDPR — къде свършва правото на работодателя
Keylogging, GPS проследяване, скрийншотове на всеки 5 минути — някои работодатели прекаляват с мониторинга. GDPR поставя ясни граници. Ето какво е допустимо и какво — не.
Работодателят има право на контрол, но не безгранично
Трудовото законодателство дава на работодателя право да контролира изпълнението на трудовите задължения. Чл. 127, ал. 1 от Кодекса на труда задължава работодателя да осигури нормални условия за работа, а чл. 126 задължава работника да спазва трудовата дисциплина. Контролът обаче не е неограничен — GDPR и ЗЗЛД поставят ясни рамки на начина, по който този контрол се осъществява чрез технически средства.
Кои практики на мониторинг са проблематични?
Най-честите нарушения, установявани от надзорните органи:
- Keylogging — записване на всяко натискане на клавиш. Европейските надзорни органи приемат, че е почти винаги непропорционално
- Непрекъснати скрийншотове — периодичното заснемане на екрана без конкретна и доказана причина се счита за непропорционално
- Мониторинг на уеб активност — без ясна и конкретна цел е недопустим
- GPS проследяване извън работния процес — следене на служебен автомобил през почивните дни или извън работното време
- Мониторинг на лични комуникации — четене на лични съобщения, дори на служебно устройство, без предупреждение и основание
Какво е абсолютно недопустимо?
GDPR категорично забранява (вж. и статията ни за видеонаблюдение и GDPR):
- Постоянно и тотално наблюдение на служителите — нарушава принципа за пропорционалност
- Скрито проследяване — без знанието на служителя (чл. 13 и 14 от GDPR)
- Следене извън работно време — нарушава правото на личен живот
- Мониторинг без предварителна и конкретна информация за естеството и обхвата му
Задължението за информиране — какво трябва да знае служителят
Работодателят е длъжен да предостави на служителите ясна, конкретна и пълна информация съгласно чл. 13 от GDPR, включително:
- Какви данни се събират и чрез какви технически средства
- За какви конкретни цели се обработват
- Колко дълго се съхраняват
- Кой има достъп до тях
- Какви са правата на служителя (достъп, коригиране, изтриване, възражение)
Важно
Обща клауза във вътрешните правила от типа „работодателят може да наблюдава служителите" не е достатъчна. Информацията трябва да бъде конкретна, разбираема и предоставена преди началото на мониторинга.
Оценка на въздействието (DPIA) — кога е задължителна?
При систематичен мониторинг на служители работодателят е длъжен да извърши оценка на въздействието върху защитата на данните (DPIA) съгласно чл. 35 от GDPR. Това е задължително при:
- Систематично наблюдение на поведението на служителите
- Обработване на данни в голям мащаб
- Използване на нови технологии за мониторинг
Дистанционна работа — специфични рискове
С масовото преминаване към дистанционна работа много работодатели внедриха софтуер за мониторинг — проследяване на екрана, активността на клавиатурата и мишката, дори уебкамера. Тези практики подлежат на същите ограничения по GDPR. Фактът, че служителят работи от вкъщи, не намалява защитата на личните му данни — напротив, рискът от навлизане в личното пространство е по-висок.
Какво можете да направите като служител?
Ако сте обект на прекомерно или скрито наблюдение:
- Подайте писмено възражение до работодателя съгласно чл. 21 от GDPR
- Поискайте информация какви точно данни се събират и на какво основание
- Поискайте ограничаване или прекратяване на обработването
- Подайте жалба до КЗЛД — безплатно, в срок от 6 месеца от узнаването
- Търсете обезщетение — за неимуществени вреди (стрес, накърняване на личното пространство) по чл. 82 от GDPR
Какво можете да направите като работодател?
Ако планирате да въведете мониторинг на служителите, помислете за:
- Изготвяне на вътрешна политика за мониторинг, съобразена с GDPR
- Провеждане на DPIA преди внедряване на технически средства
- Информиране на служителите по ясен и конкретен начин
- Консултация с адвокат по защита на личните данни, за да избегнете санкции
Свържете се с нас
Независимо дали сте служител, който търси защита, или работодател, който иска да въведе законосъобразен мониторинг — свържете се с нас за консултация. Ще ви помогнем да намерите правилния баланс между контрол и защита на личните данни.
Често задавани въпроси
Може ли работодателят да следи имейлите ми?
Работодателят може да мониторира служебните имейли при наличие на легитимен интерес и предварително информиране. Личните имейли обаче не подлежат на мониторинг.
Законно ли е keylogging софтуерът?
Европейските надзорни органи приемат keylogging за почти винаги непропорционален и незаконосъобразен, тъй като записва всяко натискане на клавиш, включително лични данни.
Може ли работодателят да ме следи с GPS извън работното време?
Не. GPS проследяване извън работния процес и работното време е недопустимо. Нарушава правото на личен живот и принципа за пропорционалност по GDPR.
Нуждаете се от консултация?
Ще ви помогнем да намерите правилния баланс между контрол и защита на личните данни — като служител или работодател.
Свържете се с нас →Получавайте нови статии директно в пощата си
Практически анализи по GDPR и киберсигурност. Без спам.
Можете да се отпишете по всяко време. Политика за поверителност
Адв. Димитрова е CIPP/E сертифициран специалист по защита на лични данни с дългогодишен опит в правото на ЕС. Адв. Чолаков е експерт по GDPR съответствие, международни трансфери на данни и whistleblowing. Заедно консултират над 90 компании за пълно GDPR съответствие.