Monitoring GPS pracowników — co musi zawierać (a czego zwykle nie zawiera)

Damian Bielecki

GPS” na szybie. Kierowca wie, że jest śledzony w godzinach pracy. Sobota wieczór — prezes prosi IT o wydruk z sobotniego popołudnia, bo „chciałby sprawdzić pewną rzecz”. W poniedziałek kierowca dostaje wypowiedzenie dyscyplinarne. W środę wypowiedzenie odpada przed sądem pracy. GPS też, bo się okazuje, że cała konstrukcja prawna systemu od początku była bujdą.

Ten tekst jest dla Ciebie, jeśli w Twojej firmie pojazdy służbowe jeżdżą z GPS-em i chciałbyś, żeby dane z tych GPS-ów nadawały się do czegoś więcej niż do produkowania kosztów prawnych.

Dlaczego GPS to nie „tylko narzędzie zarządzania flotą”

Dane z GPS to dane osobowe. Nie „dane o pojeździe”. Dane o kierowcy. Lokalizacja konkretnej osoby, w konkretnym czasie, na konkretnej trasie. Dla ochrony danych to jeden z bardziej wrażliwych typów informacji, jakie firma przetwarza o pracowniku — bo pokazują, co robi, z kim mógł się spotkać i gdzie bywa poza biurem.

Co się dzieje, jak to jest wdrożone źle ? Skargi. Zwykle składa je były pracownik. Zwykle w pakiecie z innym sporem: wypowiedzenie, mobbing, kara porządkowa. GPS jest idealną dźwignią, bo wywołuje dwa równoległe postępowania — z zakresu prawa pracy i z zakresu ochrony danych. Dwa fronty, dwa terminy, dwa koszty. To zaś może spowodować że UODO się nami zainteresuje, przeprowadzi kontrole i może nałoży karę – już nawet niekoniecznie za GPS.

Trzy podstawy prawne. Dwie nie działają.

Zanim cokolwiek zaczniesz, musisz wiedzieć, na jakiej podstawie prawnej przetwarzasz dane z GPS. Bez tego cała reszta jest dekoracją na zbyt drogim torcie.

W praktyce mamy trzy kandydatury. I tylko jedna z nich działa.

Zgoda pracownika (art. 6 ust. 1 lit. a RODO). Nie działa. Zgoda w relacji pracownik–pracodawca jest domyślnie niedobrowolna — pracownik nie ma realnej opcji odmowy bez konsekwencji zawodowych. Europejska Rada Ochrony Danych powtarza to od 2018 roku, a organy krajowe od dawna wcześniej. Jeżeli Twój regulamin GPS opiera się na „zgodzie pracownika wyrażonej przy podpisywaniu umowy” — masz problem systemowy, nie drobiazg do poprawy.

Wykonanie umowy (art. 6 ust. 1 lit. b RODO). Też nie działa, z jednym wąskim wyjątkiem. GPS w pojeździe, którym pracownik wykonuje usługę przewozową dla klienta końcowego, może być niezbędny do wykonania umowy — z tym klientem, nie z pracownikiem. Dla większości firm to nie dotyczy kierowców służbowych, handlowców z autami firmowymi ani techników wyjeżdżających do klienta.

Prawnie uzasadniony interes (art. 6 ust. 1 lit. f RODO). Działa, ale nie automatycznie. Trzeba przeprowadzić test równowagi — udokumentować, że Twój interes jako pracodawcy (organizacja pracy, bezpieczeństwo floty, rozliczenie paliwa, ochrona mienia) przeważa nad prawem pracownika do prywatności. Test musi być na papierze, udokumentowany, z konkretnymi argumentami. Nie „bo zawsze tak robimy” i nie „bo konkurencja też ma GPS”.

Art. 22³ KP — GPS to „inna forma monitoringu”

W Polsce dochodzi jeszcze jedna warstwa. Art. 22³ Kodeksu pracy mówi, że pracodawca może stosować „inne formy monitoringu” niż wizyjny — ale tylko wtedy, gdy jest to niezbędne do określonych celów i spełnia wymogi formalne analogiczne do monitoringu wizyjnego.

Dla GPS to oznacza, że musisz mieć:

  • cel zgodny z KP — organizacja pracy, pełne wykorzystanie czasu pracy oraz właściwe użytkowanie udostępnionych narzędzi pracy. I koniec. „Kontrola pracownika” nie jest celem. „Bo mam prawo wiedzieć, co robią moi ludzie” też nie…ale “analiza pełnego wykorzystania czasu pracy” to prawie to samo..
  • Postanowienia w dokumentach pracowniczych — regulamin pracy, układ zbiorowy albo obwieszczenie. Nie mail. Nie załącznik do kontraktu B2B. Dokument pracowniczy.
  • informację dla pracowników 2 tygodnie przed uruchomieniem systemu.
  • informację dla nowych pracowników przed dopuszczeniem do pracy — najlepiej osobną klauzulą informacyjną GPS,

Pominięcie którejkolwiek z tych czynności otwiera pracownikowi drogę do zakwestionowania całości systemu — niezależnie od tego, czy GPS ma sens biznesowy, czy nie.

Tryb prywatny — element, bez którego całość jest nielegalna

Jeśli pojazd służbowy może być używany również do celów prywatnych — dojazd z domu do pracy, weekendy, urlop — system GPS musi mieć tryb prywatny. Fizyczny przycisk w kabinie, opcja w aplikacji mobilnej, cokolwiek, co pozwala pracownikowi wyłączyć śledzenie poza godzinami pracy.

To nie jest dobra praktyka. To nie jest „nice to have”. To wynika wprost z zasady minimalizacji danych i z prawa pracownika do prywatności w czasie wolnym.

Jeżeli system śledzi 24/7, a regulamin tego nie ogranicza — masz dane, których nie powinieneś mieć. I co gorsza, zbierasz je zwykle bez realnej podstawy prawnej. Test równowagi „dane o sobotnim wyjeździe kierowcy z rodziną do teściowej” wypada miażdżąco na korzyść pracownika. Zawsze.

Dwa klasyczne pozorowane tryby prywatne:

Tryb prywatny jest, ale działa tylko po zgłoszeniu do IT i wypełnieniu wniosku. To nie jest tryb prywatny. To jest tor przeszkód, żeby pracownik się poddał.

Tryb prywatny jest, ale jego używanie jest „monitorowane” — raport, kto i kiedy go włączył, ile razy w miesiącu. To też nie jest tryb prywatny. To jest metoda wywierania presji opakowana w zgodność.

Element, którego pracodawcy nie lubią, ale musi być. Jeśli ujawniłeś cel „rozliczenie czasu pracy”, nie możesz tych samych danych używać do sprawdzenia, czy pracownik był w sobotę w Zakopanem. To jest zasada ograniczenia celu — nie nasz wymysł, tylko art. 5 RODO.

Co musi zawierać regulamin GPS i klauzula informacyjna

Każdy pracownik, którego pojazd ma GPS, musi dostać pisemną informację zawierającą:

  1. Kto jest administratorem. Pracodawca. Dostawca systemu GPS (np. firma telematyczna) jest procesorem — i powinna być z nim podpisana umowa powierzenia. To osobny dokument, którego w co drugiej firmie nie ma.
  2. Cel przetwarzania. Konkretnie i rozdzielnie: np. rozliczenie czasu pracy, ochrona powierzonego mienia, bezpieczeństwo kierowcy. Nie jeden ogólny cel w stylu „zarządzanie flotą”.
  3. Podstawa prawna. Art. 6 ust. 1 lit. f RODO + wskazanie konkretnego uzasadnionego interesu.
  4. Zakres zbieranych danych. Lokalizacja, prędkość, czas postoju, ewentualnie parametry jazdy (przyspieszenia, zużycie paliwa, styl hamowania). Pracownik ma prawo wiedzieć dokładnie, co widzi system — nie „mniej więcej”.
  5. Okres przechowywania. Kodeks pracy dla monitoringu wizyjnego mówi maksymalnie 3 miesiące. Dla „innych form monitoringu” nie ma twardego limitu, ale zasada minimalizacji działa tak samo. Standard rynkowy i bezpieczny: 3 miesiące. Dłużej — tylko z konkretnym uzasadnieniem, nigdy „na wszelki wypadek”. Maksymalnym sensowym terminem jest rok/dwa lata. Bo po co nam potem te informacje?
  6. Odbiorcy danych. Dostawca systemu GPS. Ewentualnie ubezpieczyciel, jeśli firma korzysta z programu telematycznego zniżek.
  7. Zasady trybu prywatnego. Kiedy pracownik może go włączyć, jak to zrobić, kiedy ma obowiązek go wyłączyć.
  8. Prawa pracownika. Pełny katalog RODO.

Szybki audyt Twojego systemu GPS

Lecisz po liście. Jeśli którekolwiek pasuje — coś wymaga poprawy.

  • Regulamin GPS opiera się na zgodzie pracownika.
  • Podstawa prawna w klauzuli to „art. 6 RODO” bez litery i bez wskazania uzasadnionego interesu.
  • Nie ma testu równowagi — albo jest, ale „zrobiony kiedyś” i nikt nie wie, kto go ma.
  • Nie ma trybu prywatnego.
  • Tryb prywatny jest, ale dopiero po wniosku do IT.
  • Okres przechowywania to „do wyjaśnienia potrzeb” albo w ogóle go nie ma.
  • Dane GPS bywały używane do wyjaśniania spraw pracowniczych, których regulamin
  • nie przewidywał.
  • Nowi pracownicy dowiadują się o GPS z naklejki w samochodzie, nie z klauzuli.
  • Brak umowy powierzenia z dostawcą systemu GPS.

Każdy z tych punktów to ryzyko osobnej skargi i osobnej linii ataku przed sądem pracy.

Co zrobić, zanim odpalicie pierwszy pojazd

Albo — jeśli już odpaliliście — zanim trafi do Was pierwsza skarga.

  • Krok 1 — test równowagi. Na papierze. Kto ma interes, jaki, dlaczego przeważa nad prywatnością pracownika. Dokument, nie rozmowa z prezesem nad kawą.
  • Krok 2 — regulamin GPS i klauzula informacyjna. Osobne, nie w załączniku do ogólnego formularza RODO. Konkretne, z listą celów, zakresem danych, okresem, prawami pracownika, zasadami trybu prywatnego.
  • Krok 3 — wdrożenie informacyjne. Pracownicy dostają informację pisemną, 2 tygodnie przed startem. Nowi — przed dopuszczeniem do pracy. Nie „mailem do wszystkich o 23:47″. Potwierdzenie odbioru.
  • Krok 4 — umowa powierzenia z dostawcą systemu. Jeżeli jej nie ma, Twój dostawca GPS jest formalnie pełnoprawnym administratorem danych Twoich pracowników. To brzmi absurdalnie, ale tak to wychodzi, kiedy brakuje jednego dokumentu.
  • Krok 5 — przegląd raz w roku. Co najmniej: test równowagi aktualny, okres przechowywania faktycznie respektowany, raporty z systemu nie wyciekają do celów spoza regulaminu.

Odwrócenie tej kolejności — najpierw GPS w autach, potem „dopracujemy dokumenty” — to zapraszanie problemu. Nie „jeśli”. Kiedy.

Podsumowanie

  • Zgoda pracownika na GPS nie działa — w relacji pracodawca–pracownik nie jest dobrowolna. Jedyna realna podstawa to uzasadniony interes (art. 6 ust. 1 lit. f RODO) z udokumentowanym testem równowagi.
  • GPS to „inna forma monitoringu” z art. 22³ KP — wymaga regulaminu pracy / obwieszczenia, informacji 2 tygodnie przed startem, osobnej klauzuli dla nowych pracowników.
  • Tryb prywatny jest obowiązkowy, jeśli pojazd może być używany do celów prywatnych. Bez niego zbierasz dane, których nie masz prawa mieć.
  • Zasada ograniczenia celu działa twardo — dane zebrane w celu „rozliczenia czasu pracy” nie mogą być używane do sprawdzania, gdzie pracownik był w weekend.
  • Kolejność wdrożenia:
    • test równowagi
    • regulamin i klauzula
    • informacja dla pracowników

Najczęściej zadawane pytania

Nie. Zgoda w relacji pracodawca–pracownik jest domyślnie niedobrowolna — pracownik nie ma realnej opcji odmowy bez konsekwencji zawodowych. Potwierdza to Europejska Rada Ochrony Danych od 2018 roku. Jeżeli Twój regulamin GPS opiera się na „zgodzie wyrażonej przy podpisywaniu umowy”, masz problem systemowy. Poprawna podstawa to prawnie uzasadniony interes pracodawcy (art. 6 ust. 1 lit. f RODO) z udokumentowanym testem równowagi.

Tak. GPS to „inna forma monitoringu” w rozumieniu art. 22³ Kodeksu pracy. Zasady stosowania muszą być w regulaminie pracy, układzie zbiorowym albo obwieszczeniu pracodawcy — nie w mailu, nie w załączniku do kontraktu B2B, nie „wszyscy wiedzą”. Pracownicy muszą dostać informację co najmniej 2 tygodnie przed uruchomieniem systemu, nowi — przed dopuszczeniem do pracy, najlepiej osobną klauzulą informacyjną GPS.

Jeśli pojazd służbowy może być używany również do celów prywatnych — tak, tryb prywatny jest obowiązkowy. To wynika wprost z zasady minimalizacji danych i z prawa pracownika do prywatności w czasie wolnym. System śledzący 24/7 bez opcji wyłączenia poza godzinami pracy jest ryzykowny i UODO moze nie zaakceptować naszych wyjaśnień

Kodeks pracy nie daje twardego limitu dla „innych form monitoringu” (inaczej niż dla wizyjnego, gdzie jest 3 miesiące). Obowiązuje za to zasada minimalizacji z art. 5 RODO. Bezpieczny standard rynkowy to 3 miesiące. Dłużej — tylko z konkretnym uzasadnieniem, nigdy „na wszelki wypadek”. Rok do dwóch to absolutny maksymalny sensowny termin; po tym czasie dane nie mają już wartości biznesowej.

Nie, jeżeli cel „kontroli zachowań poza godzinami pracy” nie był ujawniony w klauzuli informacyjnej. Zasada ograniczenia celu (art. 5 ust. 1 lit. b RODO) mówi jasno: dane zebrane w jednym celu nie mogą być używane do innego, niezgodnego z pierwotnym. Jeśli ujawniłeś cel „rozliczenie czasu pracy i ochrona mienia”, nie możesz tych samych danych użyć do sprawdzenia, czy pracownik był w sobotę w Zakopanem. Wypowiedzenie oparte na takich danych zwykle odpada przed sądem pracy, a pracodawca dodatkowo dostaje skargę do UODO.

Tak, to jest obowiązkowe. Dostawca systemu GPS (firma telematyczna) przetwarza dane osobowe Twoich pracowników w Twoim imieniu — jest procesorem, nie odrębnym administratorem. Wymaga to umowy powierzenia przetwarzania zgodnej z art. 28 RODO. Jeżeli takiej umowy nie ma, Twój dostawca formalnie staje się pełnoprawnym administratorem danych Twoich pracowników — i to Ty odpowiadasz za ten bałagan.

Autor artykułu

Damian Bielecki

Damian Bielecki

Ekspert od ochrony danych. Autor publikacji i ksiązek poświęconych tematyce ochrony danych osobowych. Tworzy codziennie treści o RODO w social media, pokazując w prosty i humorystyczny sposób, że nawet „nudne” prawo może angażować – zwłaszcza na Linkedin.