Sledovat zaměstnance bude možné i po startu GDPR

Zaměstnanci na pracovišti tráví denně více než hodinu soukromými aktivitami realizovanými na firemním počítači. V některých měsících, například loni před Vánocemi, to bylo dokonce neuvěřitelných 100 minut denně! Firmy se proto snaží omezit „flákání“ a prokrastinaci na pracovišti pomocí monitoringu firemních počítačů. Účet za zneužívání pracovního času totiž může být vysoký: „Loni v prosinci jeden zaměstnanec v průměru proflákal 5625 Kč,“ shrnul Martin Hnízdil, AuditPro manažer společnosti truconneXion.

S květnovým startem legislativy na ochranu osobních dat – GDPR – se ale řada firem obává, že s monitoringem budou muset přestat. „Strachují se, že ztratí bezpečnostní pojistku proti zneužívání firemních počítačů,“ uvedl Hnízdil. Jen samotná přítomnost monitorovacích technologií totiž působí preventivně a řadu neukázněných zaměstnanců od lelkování odradí.

Stažení hudby nebo softwaru monitorovat lze, obsah komunikace nikoli

Podle advokátů jsou ale obavy ze zákazu monitoringu zaměstnanců neopodstatněné. Sledovat zaměstnance bude možné i poté, co vstoupí GDPR v platnost, pokud pro to bude existovat tzv. oprávněný zájem. „Firmy budou muset přemýšlet nad tím, jestli nezasahují do soukromí zaměstnanců více, než je třeba. Oprávněným zájmem zaměstnavatele zůstane například zabezpečení dat nebo kontrola využívání firemních prostředků,“ podotkl na konferenci věnované GDPR Jan Tomíšek, expert na ochranu osobních údajů a soukromí z advokátní kanceláře Rowan Legal.

V praktické rovině tedy bude možné i nadále monitorovat, jaké aplikace a typy souborů zaměstnanci na počítači využívají. „Jedině monitoringem lze zabránit svévolnému stažení zavirovaného softwaru či pirátských kopií hudby a filmů, které mohou firmu kriminalizovat z pohledu autorských práv. Schopnost prokázat, jaký uživatel se dopustil například stažení nelegálního softwaru nebo hudby, je žádoucí,“ řekl Martin Hnízdil ze společnosti truconneXion.

Těžko obhajitelné by bylo zjišťování obsahu souborů, například textových dokumentů či e-mailů. „Zde už by se jednalo o značný zásah do soukromí zaměstnanců, který z hlediska prevence není nutný. Výjimkou jsou odůvodněné kontroly, o jejichž možnosti by měli být zaměstnanci informováni například firemní směrnicí,“ potvrdil expert na ochranu osobních údajů Martin Voborník z advokátní kanceláře Voborník·Nigrini·Kipiel.

Sledovat, co zaměstnanec na počítači dělá, lze jen pro účely monitoringu efektivity

Sledování využívání kancelářských aplikací či tiskáren bude i nadále možné za účelem zjištění, jak efektivně jsou firemní software a hardware vytíženy. „Účelem sledování je zjistit, jak zaměstnanci využívají instalovaný software nebo tiskárnu, které by případně mohly být použity jinde. Tedy nikoli monitoring obsahu, ale frekvence využívání, například spuštění aplikace nebo vytištění dokumentu,“ vysvětlil Hnízdil.

Oprávněný zájem by se ale těžko hledal pro plošný monitoring klávesnice za účelem zjištění, co dotyčný píše nebo vytváří v aplikaci. „To by byl opět zásadní zásah do soukromí zaměstnanců, pro který není obyčejně zákonný důvod. Výjimkou mohou být namátkové kontroly, jejichž účelem je preventivně zamezit například zneužívání počítačů,“ dodal Voborník.

Start GDPR nemusí být jen nutné zlo, jak jej většina firem vnímá, ale i příležitostí, jak zlepšit ochranu firemních dat. Související legislativa totiž firmám dává oporu v oblasti prevence ztráty či zneužití dat. „Naprosto v souladu s GDPR je kontrola provozu firemní počítačové sítě a aktivní snaha zabránit protiprávnímu chování, například stahování nelegálního obsahu. Tato opatření zamezují možné ztrátě či úniku dat a slouží jako jasný důkaz, že se firma aktivně snaží plnit své zákonné povinnosti,“ uzavřel Hnízdil.