Проследяване на служители и GDPR — къде свършва правото на работодателя
Регистриране на натискания на клавиши (keylogging), проследяване чрез системи за глобално позициониране (GPS), периодично заснемане на екрана на всеки 5 минути — някои работодатели прекаляват с мониторинга. GDPR поставя ясни граници. Ето какво е допустимо и какво — не.
Работодателят има право на контрол, но не безгранично
Трудовото законодателство дава на работодателя право да контролира изпълнението на трудовите задължения. Чл. 127, ал. 1 от Кодекса на труда задължава работодателя да осигури нормални условия за работа, а чл. 126 задължава работника да спазва трудовата дисциплина. Контролът обаче не е неограничен — GDPR и ЗЗЛД поставят ясни рамки на начина, по който този контрол се осъществява чрез технически средства.
Кои практики на мониторинг са проблематични?
Най-честите нарушения, установявани от надзорните органи:
- Регистриране на натискания на клавиши (keylogging) — записване на всяко натискане на клавиш. Европейските надзорни органи приемат, че е почти винаги непропорционално
- Периодично заснемане на екрана — периодичното заснемане на екрана без конкретна и доказана причина се счита за непропорционално
- Мониторинг на уеб активност — без ясна и конкретна цел е недопустим
- проследяване чрез системи за глобално позициониране (GPS) извън работния процес — следене на служебен автомобил през почивните дни или извън работното време
- Мониторинг на лични комуникации — четене на лични съобщения, дори на служебно устройство, без предупреждение и основание
Какво е абсолютно недопустимо?
GDPR категорично забранява (вж. и статията ни за видеонаблюдение и GDPR):
- Постоянно и тотално наблюдение на служителите — нарушава принципа за пропорционалност
- По правило скритото наблюдение е недопустимо; ЕСПЧ в López Ribalda v. Spain (жалби № 1874/13 и 8567/13, реш. на Голяма камара от 17.10.2019 г.) допуска изключения само при обосновано подозрение за нарушение, краткотрайност и липса на по-малко интрузивна алтернатива (чл. 13 и 14 GDPR)
- Следене извън работно време — нарушава правото на личен живот
- Мониторинг без предварителна и конкретна информация за естеството и обхвата му
Задължението за информиране — какво трябва да знае служителят
Работодателят е длъжен да предостави на служителите ясна, конкретна и пълна информация съгласно чл. 13 от GDPR, включително:
- Какви данни се събират и чрез какви технически средства
- За какви конкретни цели се обработват
- Колко дълго се съхраняват
- Кой има достъп до тях
- Какви са правата на служителя (достъп, коригиране, изтриване, възражение)
Важно
Обща клауза във вътрешните правила от типа „работодателят може да наблюдава служителите" не е достатъчна. Информацията трябва да бъде конкретна, разбираема и предоставена преди началото на мониторинга.
Оценка на въздействието (DPIA) — кога е задължителна?
При систематичен мониторинг на служители работодателят е длъжен да извърши оценка на въздействието върху защитата на данните (DPIA) съгласно чл. 35 от GDPR. Това е задължително при:
- Систематично наблюдение на поведението на служителите
- Обработване на данни в голям мащаб
- Използване на нови технологии за мониторинг
Дистанционна работа — специфични рискове
С масовото преминаване към дистанционна работа много работодатели внедриха софтуер за мониторинг — проследяване на екрана, активността на клавиатурата и мишката, дори уебкамера. Тези практики подлежат на същите ограничения по GDPR. Работата от вкъщи не намалява защитата на личните данни на служителя — напротив, рискът от засягане на личния му живот нараства.
Какво можете да направите като служител?
Ако сте обект на прекомерно или скрито наблюдение:
- Подайте писмено възражение до работодателя съгласно чл. 21 от GDPR
- Поискайте информация какви точно данни се събират и на какво основание
- Поискайте ограничаване или прекратяване на обработването
- Подайте жалба до КЗЛД — безплатно, в срок от 6 месеца от узнаване на нарушението и не по-късно от 2 години от извършването му
- Търсете обезщетение — за неимуществени вреди (стрес, накърняване на личното пространство) по чл. 82 от GDPR
Какво можете да направите като работодател?
Ако планирате да въведете мониторинг на служителите, помислете за:
- Изготвяне на вътрешна политика за мониторинг, съобразена с GDPR
- Провеждане на DPIA преди внедряване на технически средства
- Информиране на служителите по ясен и конкретен начин
- Консултация с адвокат по защита на личните данни, за да избегнете санкции
Свържете се с нас
Независимо дали сте служител, който търси защита, или работодател, който иска да въведе законосъобразен мониторинг — свържете се с нас за консултация. Ще ви помогнем да намерите правилния баланс между контрол и защита на личните данни.
Често задавани въпроси
Може ли работодателят да следи имейлите ми?
Работодателят може да мониторира служебните имейли при наличие на легитимен интерес по чл. 6, параграф 1, буква „е“ GDPR след документирана LIA, при спазване на принципа за свеждане до минимум по чл. 5, параграф 1, буква „в“ GDPR; вж. Становище 2/2017 на Работната група по чл. 29 (WP249) и шестфакторния тест от ЕСПЧ Bărbulescu v. Romania (61496/08, GC 5.09.2017) и предварително информиране. Личните имейли по правило не подлежат на наблюдение, освен при изрично предварително уведомление и пропорционална мярка (Bărbulescu v. Romania).
Законно ли е софтуерът за регистриране на клавишни натискания?
Европейските надзорни органи приемат keylogging за почти винаги непропорционален и незаконосъобразен, тъй като записва всяко натискане на клавиш, включително лични данни.
Може ли работодателят да ме следи с GPS извън работното време?
Не. GPS-проследяване извън работното време е недопустимо. Нарушава правото на личен живот и принципа за пропорционалност по GDPR.
Нуждаете се от консултация?
Ще ви помогнем да намерите правилния баланс между контрол и защита на личните данни — като служител или работодател.
Свържете се с нас →Получавайте нови статии директно в пощата си
Практически анализи по GDPR и киберсигурност. Без спам.
Можете да се отпишете по всяко време. Политика за поверителност
Адв. Димитрова е CIPP/E сертифициран специалист по защита на лични данни с дългогодишен опит в правото на ЕС. Адв. Чолаков е експерт по GDPR съответствие, международни трансфери на данни и whistleblowing. Заедно консултират над 90 компании за пълно GDPR съответствие.