Co do zasady pracodawca może wykorzystywać narzędzia w tym oparte na AI do monitorowania sposobu wykonywania pracy, w tym produktywności oraz korzystania z narzędzi służbowych, ale tylko w granicach wyznaczonych przez Kodeks pracy i RODO. Monitoring musi być niezbędny do osiągnięcia konkretnego, zgodnego z prawem celu (np. organizacja pracy, bezpieczeństwo informacji, ochrona mienia), proporcjonalny i jasno zakomunikowany pracownikom.

Kup Legalisa Księgowość Kadry Biznes online i uzyskaj natychmiastowy dostęp! Sprawdź

Wykorzystanie algorytmów analizujących wzorce zachowań (np. automatyczna analiza treści korespondencji, scoring ryzyka) nie jest samo w sobie zakazane, ale z punktu widzenia RODO stanowi zaawansowaną formę przetwarzania często z elementami profilowania i wymaga szczególnie rzetelnej oceny podstawy prawnej, zakresu danych, czasu retencji, a także przeprowadzenia oceny skutków dla ochrony danych (DPIA) przy monitoringu zautomatyzowanym na większą skalę.

Dodatkowo część narzędzi monitorujących pracowników może zostać zakwalifikowana na gruncie AIAct jako systemy wysokiego ryzyka w obszarze „zarządzania pracownikami i dostępem do samozatrudnienia”, co wiąże się z dodatkowymi obowiązkami po stronie dostawcy i użytkownika, zwłaszcza w zakresie zarządzania ryzykiem, dokumentacji i nadzoru człowieka.

Prawo pracy nie przewiduje wprost monitorowania produktywności pracowników, ale umożliwia monitorowanie korespondencji służbowej i monitoring ogólny dla celów, m.in. kontroli produkcji. Należy przy tym pamiętać, że niezależnie od przepisów RODO i AIAct, konieczne jest informowanie pracowników o wdrożeniu monitoringu przez stosowne wzmianki w układzie zbiorowym pracy lub w regulaminie pracy albo w obwieszczeniu, jeżeli pracodawca nie jest objęty układem zbiorowym pracy lub nie jest obowiązany do ustalenia regulaminu pracy.

Ważne

Monitoring produktywności może obejmować m.in. czas logowania do systemów, liczbę połączeń, obsłużonych spraw, aktywność w narzędziach pracy zdalnej, stopień realizacji KPI. Monitoring korespondencji służbowej, zwykle poczty elektronicznej i komunikatorów, może obejmować analizę metadanych (adresaci, częstotliwość, wielkość załączników), a w wersji rozszerzonej także analizę treści (wykrywanie słów kluczowych związanych z ujawnieniem tajemnicy, naruszeniami compliance, mobbingiem itp.).

Zarówno RODO, jak i Kodeks pracy wymagają, by monitoring był celowy i proporcjonalny. Pracodawca powinien jasno określić cele (organizacja pracy, kontrola świadczenia pracy, bezpieczeństwo, przeciwdziałanie nadużyciom) oraz zakres nie można śledzić każdego aspektu aktywności pracownika, zwłaszcza w czasie prywatnym lub w kanałach, które zostały dopuszczone do celów prywatnych. Stały, intensywny nadzór w czasie rzeczywistym nad każdym kliknięciem czy każdą wiadomością może zostać uznany za naruszający godność i prywatność pracownika oraz zasadę minimalizacji danych.

Podstawą prawną przetwarzania danych przy monitoringu jest najczęściej prawnie uzasadniony interes pracodawcy (art. 6 ust. 1 lit. f RODO), polegający np. na zapewnieniu bezpieczeństwa systemów, organizacji pracy czy ochronie mienia, a w niektórych przypadkach obowiązek prawny (np. przepisy o bezpieczeństwie informacji, AML, przepisy o monitoringu). Pracodawca musi jednak przeprowadzić test równowagi, tj. zestawić swój interes z prawem pracownika do prywatności i ochrony danych.

Zastosowanie AI do analizy aktywności i korespondencji służbowej bardzo często będzie wiązało się z profilowaniem (zautomatyzowana ocena aspektów pracy i zachowania, np. „ryzyko nadużyć”, „poziom produktywności”). Profilowanie nie jest zakazane, ale wymaga spełnienia wszystkich zasad RODO (m.in. legalność, rzetelność, przejrzystość, minimalizacja danych, ograniczenie celu i przechowywania) oraz obowiązków informacyjnych z art. 13–14 RODO. Pracownik powinien wiedzieć, jakie dane są zbierane, do jakich celów, przy użyciu jakich narzędzi (w tym AI) i jakie mogą być konsekwencje.

Przy zaawansowanym, zautomatyzowanym monitoringu na większą skalę konieczna będzie ocena skutków dla ochrony danych (DPIA, art. 35 RODO), ponieważ mamy do czynienia z systematycznym monitorowaniem osób w sytuacji podporządkowania i wysokim ryzykiem naruszenia ich praw i wolności. DPIA powinna zidentyfikować m.in. ryzyko nadmiernej inwigilacji, wyciągania zbyt daleko idących wniosków z danych, dyskryminacji (np. klasyfikowanie jako „mniej zaangażowanych” pracowników, którzy częściej korzystają z przysługujących im przerw) oraz ustalić środki ograniczające to ryzyko (np. ograniczenie zakresu danych, pseudonimizacja, progi alertów, krótka retencja).

Kodeks pracy reguluje wprost niektóre formy monitoringu w szczególności monitoring wizyjny oraz monitoring poczty elektronicznej i innych form monitorowania (art. 22²–22³ Kodeksu pracy). Monitoring może być wprowadzony, jeżeli jest to konieczne dla zapewnienia organizacji pracy, bezpieczeństwa, ochrony mienia, kontroli produkcji czy zachowania tajemnicy, ale nie może naruszać godności i innych dóbr osobistych pracownika, prawa do prywatności oraz tajemnicy korespondencji. Treść prywatnej korespondencji nie powinna być czytana, pracodawca może kontrolować sposób korzystania z narzędzia (np. liczbę wiadomości, załączników, zgodność z polityką), nie zaś życie prywatne pracownika.

Pracodawca ma obowiązek określić cel, zakres i sposób stosowania monitoringu w układzie zbiorowym, regulaminie pracy albo obwieszczeniu oraz poinformować pracowników z odpowiednim wyprzedzeniem. W kontekście pracy zdalnej szczególnie ważne jest wyznaczenie granic. Narzędzia nie mogą monitorować aktywności na prywatnych urządzeniach i w czasie, który nie jest czasem pracy (np. rejestrowanie ruchu myszy na prywatnym komputerze poza godzinami pracy). Ponadto narzędzia nie mogą prowadzić do faktycznej dyskryminacji, np. stosowanie ostrzejszych progów „produktywności” wobec części pracowników bez obiektywnego uzasadnienia. Wiele narzędzi AI monitorujących produktywność i korespondencję może zostać uznanych za systemy wysokiego ryzyka, jeśli ich wyniki są wykorzystywane do podejmowania decyzji wpływających na sytuację pracownika (np. awanse, premie, kary, zwolnienia). To oznacza obowiązki w zakresie systematycznego zarządzania ryzykiem (w tym ryzykiem dyskryminacji), zapewnienia jakości i braku stronniczości danych, szczegółowej dokumentacji, rejestrowania działania, przejrzystej instrukcji dla użytkowników oraz zapewnienia realnego nadzoru człowieka.

AIAct jest już przyjęty i obowiązuje, natomiast przepisy dotyczące systemów wysokiego ryzyka będą stosowane stopniowo od 2026/2027 r. Pakiet Digital Omnibus, będący obecnie w toku prac legislacyjnych, ma m.in. doprecyzować i częściowo „odroczyć” niektóre obowiązki oraz wprowadzić dodatkowe wymogi informacyjne i sankcje. Dla pracodawców oznacza to konieczność szybkiego zidentyfikowania narzędzi, które mogą podlegać reżimowi wysokiego ryzyka, oraz zaplanowania dostosowania, także na poziomie dokumentacji i relacji z dostawcami.

Ważne
  • Pracodawca może stosować narzędzia AI do monitorowania produktywności i korespondencji, ale tylko w jasno określonych, legalnych celach i przy zachowaniu zasady proporcjonalności oraz minimalizacji danych.
  • Zakres monitoringu oraz informacja o wykorzystaniu AI muszą być wyraźnie uregulowane w dokumentach wewnętrznych (regulamin pracy, polityki IT) i zakomunikowane pracownikom z wyprzedzeniem.
  • Zaawansowany, zautomatyzowany monitoring na większą skalę wymaga przeprowadzenia DPIA oraz uwzględnienia ryzyka profilowania i dyskryminacji.
  • Narzędzia nie mogą prowadzić do nieograniczonej inwigilacji pracownika. Należy unikać monitorowania zachowań prywatnych oraz treści prywatnej korespondencji.
  • W przypadku systemów AI, których wyniki wpływają na decyzje kadrowe (premie, awanse, sankcje), należy liczyć się z kwalifikacją jako system wysokiego ryzyka w rozumieniu AIAct i wynikającymi z tego dodatkowymi obowiązkami (zarządzanie ryzykiem, dokumentacja, nadzór człowieka).