Test równowagi dla monitoringu poczty służbowej

TEST RÓWNOWAGI DLA MONITORINGU POCZTY SŁUŻBOWEJ1

Ocena, czy przetwarzanie może być oparte na prawnie uzasadnionym interesie Wirtualne Biuro Sp. z o.o.

• Przetwarzanie danych w ramach monitoringu poczty służbowej w celu zapewnienia organizacji pracy umożliwiającej pełne wykorzystanie czasu pracy oraz właściwego użytkowania udostępnionych pracownikowi narzędzi pracy.2

• Monitoring będzie realizowany z wykorzystaniem Czynność przetwarzania programu SecureMail Pro.

• Monitoring będzie polegać na zbieraniu informacji w zakresie daty i godziny wysłania/odebrania wiadomości, adresu nadawcy/odbiorcy, rozmiaru wiadomości, które będą wykorzystywane przez pracodawcę w sposób zautomatyzowany do wykrywania potencjalnych naruszeń bezpieczeństwa.3

• Monitoring nie narusza tajemnicy korespondencji użytkowników.

Dane użytkownika korzystającego z poczty (Jan Kowalski, Nowak, [email protected]), Zakres danych dane gromadzone przez monitoring (data i godzina wysłania/odebrania, adres nadawcy/odbiorcy, rozmiar wiadomości, nazwa załącznika).

Wirtualne Biuro Sp. z o.o., będący podmiotem prywatnym, może wprowadzić monitoring poczty na zasadach określonych w przepisach art. 222 Kodeksu pracy, jeżeli wykaże, że przetwarzanie jest niezbędne do Czy istnieją inne przesłanki zrealizowania celu przetwarzania. Zatem podstawą prawną jest jego legalizujące to przetwarzanie? prawnie uzasadniony interes związany z zapewnieniem organizacji pracy umożliwiającej pełne wykorzystanie czasu pracy oraz właściwego użytkowania udostępnionych pracownikowi narzędzi pracy.4

Tak, wskazane cele są rzeczywiste i istotne dla Wirtualne Biuro Sp. z o.o. Wirtualne Biuro Sp. z o.o. nie jest w stanie zapewnić wskazanych celów, inną mniej Czy interes Wirtualne Biuro Sp. z o.o. jest inwazyjną metodą. W szczególności monitoring poczty pozwoli zapewnić uzasadniony? wyższe bezpieczeństwo informacji, minimalizując zagrożenia wynikające z błędu użytkownika, w szczególności ograniczenie phishingu, czy kradzieży danych z poczty e-mail.

Tak. Wirtualne Biuro Sp. z o.o. ocenił ryzyka dla ochrony danych przetwarzanych w poczcie służbowej na poziomie wysokim, tym samym, wymagane jest Czy przetwarzanie jest podjęcie działań minimalizujących te ryzyka. Zapewnienie właściwej konieczne do osiągnięcia celu? ochrony sprzętu przekazywanego użytkownikom oraz informacji, które są na w nich zawarte, wymaga podjęcia działań systemowych, poprzez odpowiednie oprogramowanie.

Przetwarzanie z pewnością wpływa na osoby, których dane dotyczą. Monitoring jest inwazyjną formą przetwarzania, a zastosowany niewłaściwie może mieć negatywny wpływ na osoby, których dane Czyje interesy przeważają? dotyczą. Wirtualne Biuro Sp. z o.o. musi zapewnić właściwe wdrożenie monitoringu, tak aby nie naruszał podstawowych praw i wolności osób monitorowanych. Jednym z największych zagrożeń związanych

1 Dokument ma charakter przykładowy, pokazujący w jaki sposób administrator powinien dokonać testu równowagi.

2 Wskazano dopuszczone przez kodeks pracy cele wprowadzenia monitoringu, należy wskazać właściwy cel wprowadzenia.

3 Wskazać sposób wykorzystania, np. zliczanie czasu pracy, monitoring bezpieczeństwa poprzez analizę przesyłanych załączników, itp.

4 Porównaj opinia Prezesa UODO „Która przesłanka jest podstawą przetwarzania danych przez pracodawcę stosującego monitoring?”, https://uodo.gov.pl, dostęp 2023-10-26.

z monitoringiem poczty jest wykorzystanie go w innych celach, niż te dla których został założony, w szczególności do kontroli sposobu wykonywania pracy przez pracowników. Monitoring poczty musi być też stosowany z zachowaniem tajemnicy korespondencji. Do właściwego stosowania monitoringu niezbędne jest zapewnienie skutecznego poinformowania wszystkich użytkowników o celach, sposobach oraz zakresie jego użytkowania. Informacja powinna być albo widoczna cały czas w systemie albo okresowo przypominana. Użytkownicy powinni zostać wyraźnie poinformowani, że nie mogą wykorzystywać poczty służbowej do prywatnych celów, gdyż ich wiadomości będą przechodzić przez system monitoringu. Wirtualne Biuro Sp. z o.o. musi zapewnić skuteczne środki organizacyjne, aby dostęp do danych z monitoringu był ograniczony do wąskiego kręgu uprawnionych osób. Należy zapewnić nadzór IOD nad sposobem przetwarzania danych w ramach monitoringu, w szczególności każda aktualizacja funkcji lub zmiana ustawień oprogramowania, wymaga konsultacji z IOD, gdyż musi być zweryfikowana w zakresie możliwości naruszenia ochrony danych użytkowników. Przy zapewnieniu odpowiednich środków organizacyjnych, przeważają interesy Wirtualne Biuro Sp. z o.o. • Dostęp do danych będą miały tylko i wyłącznie uprawnione osoby. • Prawa osób będą realizowane zgodnie z obowiązującą u Wirtualne Biuro Sp. z o.o. procedurą. • Monitoring nie będzie naruszać tajemnicy korespondencji. • Monitoring nie będzie służył do monitorowania sposobu wykonywania pracy przez pracowników. • Wyznaczono IOD w celu nadzoru nad zgodnością monitoringu z przepisami. Ustalenie czynników • Aktualizacje i zmiany systemu monitoringu są konsultowane z gwarantujących równowagę IOD. lub przewagę interesów Wirtualne Biuro Sp. z o.o. • Użytkownicy zostaną poinformowani na piśmie o celach, zakresie i formie wykorzystania monitoringu poczty. • Informacja zostanie też przekazana pracownikom w sposób przyjęty u pracodawcy i będzie dostępna w każdym momencie lub przypominana okresowo. • Użytkownicy nie mogą wykorzystywać poczty do prywatnych celów i są o tym okresowo informowani, aby uniknąć ryzyka naruszenia tajemnicy korespondencji. • Wprowadzenie monitoringu zostało skonsultowane z organizacją związkową (o ile jest organizacja związkowa). Kopia danych – osoba, której dane dotyczą będzie mogła uzyskać kopię danych, zgodnie z obowiązującą u Wirtualne Biuro Sp. z o.o. procedurą. Sprostowanie danych – system nie umożliwia sprostowania, gdyż dane są zbierane w sposób zautomatyzowany. W przypadku błędu w konfiguracji, możliwe jest jej poprawienie, aby dane były prawidłowo przypisane. Czy będzie możliwa realizacja Usunięcie danych – Wirtualne Biuro Sp. z o.o. przechowuje dane z systemu przez praw osób? ograniczony okres 3 miesięcy. Jeżeli monitoring zarejestruje zdarzenie, które może wiązać się z dochodzeniem roszczeń lub być niezbędne do osiągnięcia celów wykorzystania monitoringu poczty, Wirtualne Biuro Sp. z o.o. odmówi usunięcia danych. Jeżeli osoba, której dane dotyczą wniesie sprzeciw na przetwarzanie jej danych, ze względu na jej szczególną sytuację, możliwe

będzie usunięcie danych za wskazany okres 1 miesiąca. Ograniczenie przetwarzania – może mieć zastosowanie w odniesieniu do danych, w przypadku wniesienia uzasadnionego sprzeciwu. W takim wypadku dane zostanąe zabezpieczone do czasu zrealizowania prawa osoby, której dane dotyczą. Dane z monitoringu nie podlegają pod prawo do przenoszenia danych. Sprzeciw - osoba, której dane dotyczą, ma prawo w dowolnym momencie wnieść sprzeciw – z przyczyn związanych z jej szczególną sytuacją. W takim wypadku Wirtualne Biuro Sp. z o.o. zastosuje wobec Wirtualne Biuro Sp. z o.o. ograniczenie przetwarzania. W przypadku zrealizowania prawa do sprzeciwu, nagranie zostanie usunięte. Dane nie będą podlegały profilowaniu ani zautomatyzowanemu podejmowaniu decyzji5. Wirtualne Biuro Sp. z o.o. zrealizuje obowiązki informacyjne przed wprowadzeniem monitoringu. Przeważają interesy Wirtualne Biuro Sp. z o.o., możliwe jest przetwarzanie Wynik testu wskazanych danych w oparciu o prawnie uzasadniony interes.

2023-10-27 i podpis Jan Nowak - Prezes Zarządu Wirtualne Biuro Sp. z o.o.

5 Do ustalenia, czy faktycznie tak będzie.