ID: 100316upozornění pro uživatele

Sledování aktivity zaměstnance na internetu ve světle aktuální judikatury Evropského soudu pro lidská práva

Na počátku tohoto roku vzbudil jistou veřejnou pozornost rozsudek Evropského soudu pro lidská práva ve věci Barbulescu proti Rumunsku[1]. Soud se zabýval možností zaměstnavatele sledovat činnost zaměstnance na internetu, přesněji řečeno na přípustnost přístupu k elektronické poště určitého zaměstnance. Daný rozsudek byl, jak už se občas stává, ve sdělovacích prostředcích prezentován dosti zjednodušujícím a nepřesným způsobem a to v tom smyslu, že zaměstnavatel obecně může kontrolovat elektronickou poštu svých zaměstnanců, kterou přijímají či odesílají v rámci svého pracovněprávního vztahu a to zřejmě bez jakýchkoliv omezení. Ani po několikerém přečtení daného rozsudku jsem z něj takovýto závěr nedovodil. Pokusím se proto shrnout, o čem rozsudek Evropského soudu pro lidská práva ve věci Barbulescu proti Rumunsku ve skutečnosti je a jaké mohou být jeho důsledky pro praxi.

Shrnutí případu

Stěžovatel, pan Bogdan Barbulescu, byl od srpna 2004 do srpna roku 2007 zaměstnancem soukromé společnosti. Na pokyn svého zaměstnavatele si zřídil účet v programu Yahoo Messenger, což je služba umožňující komunikaci v reálném čase, za účelem jednání se zákazníky. V srpnu roku 2007 byl stěžovatel svým zaměstnavatelem informován o tom, že od 5. do 13. července 2017 byla jeho komunikace v programu Yahoo Messenger monitorována a že v rozporu s interními pravidly zaměstnavatele v pracovní době využíval internet k soukromým účelům. Pan Barbulescu se nejprve pokoušel tvrdit, že se tak nestalo, na což však zaměstnavatel reagoval předložením pětačtyřicetistránkového přepisu jeho komunikace ve sledovaném období a to včetně ryze soukromých zpráv vyměněných s jeho snoubenkou a bratrem. Následně byl pracovněprávní vztah ze strany zaměstnavatele ukončen.

Pan Barbulescu se u soudu domáhal zrušení výpovědi, když podle jeho názoru podklady pro zrušení pracovní smlouvy byly získány v rozporu s jeho právem na ochranu listovního tajemství a soukromého života. Rumunské soudy jeho argumentaci nepřisvědčily, a proto se se stížností následně obrátil na Evropský soud pro lidská práva. Stěžovatel namítal, že Rumunsko jako signatář Evropské úmluvy o ochraně lidských práv v jeho případě porušilo především čl. 8 Úmluvy (právo na respektování soukromého a rodinného života včetně ochrany korespondence), neboť soudy připustily jako legální postup využití informací z jeho osobní komunikace, a dále čl. 6 Úmluvy (právo na spravedlivé řízení), jelikož rumunské soudy mu neumožnil předvolat svědka[2]. Pan Barbulescu uvedl, že o možnosti zaměstnavatele kontrolovat jím zřízený účet v programu Yahoo Messenger nebyl předem informován, že při jeho využití oprávněně očekával jistou míru soukromí a že daný postup zaměstnavatele nebyl přiměřený jeho.

Právní posouzení Evropského soudu pro lidská práva

Evropský soud pro lidská práva nejprve na základě své předchozí judikatury shrnul, že pojem soukromí či soukromý život je nutno chápat široce[3], nicméně nikoliv neomezeně[4]. Důležité pro posouzení toho, zda monitorování činnosti zaměstnance, například nahrávání jeho telefonních hovorů, sledování činnosti na internetu či elektronické komunikace, je či není v rozporu s čl. 8 Úmluvy, je, zda dotyčný stěžovatel na základě objektivních skutečností (informace prokazatelně zprostředkované zaměstnavatelem, vnitřní pravidla pro využívání výpočetní techniky a telekomunikačního zařízení, běžná praxe na pracovišti) mohl při komunikaci, v tomto případě při využívání programu Yahoo Messenger, odůvodněně očekávat soukromí či nikoliv[5].

Nalézt odpověď na tuto otázku nebylo pro soud jednoduché, protože mezi stranami sporu bylo sporné, zda byl stěžovatel prokazatelně informován o tom, že využívání prostředků zaměstnavatele může být monitorováno. Rumunsko argumentovalo tím, že stěžovatel byl o možném sledování činnosti na internetu zaměstnavatelem vyrozuměn dne 3. července 2007, což stěžovatel v řízení před rumunskými soudy nezpochybnil. Toto tvrzení však nebylo nijak doloženo, např. podpisem stěžovatele na dokumentu stvrzujícím jeho seznámení se s danými pravidly. Stěžovatel naproti tomu tvrdil, že již z podstaty je program typu instant messaging, jako je právě i Yahoo Messenger, určený pro osobní komunikaci, což založilo jeho důvodné očekávání, že daná komunikace bude důvěrná a nebude zaměstnavatelem sledována. Odmítl tvrzení, že by byl informován o možnosti zaměstnavatele využívání tohoto programu kontrolovat s tím, že obecný zákaz využívání prostředků zaměstnavatele pro soukromou potřebu ve vnitřních předpisech takovou informaci neobsahuje. Stěžovatel předložil dokument datovaný 3. července 2007, ve kterém zaměstnavatel informuje zaměstnance o možnosti sledovat jejich činnost na internetu. Tento dokument však nebyl stěžovatelem podepsán a stěžovatel sám uváděl, že podle jeho názoru byl tento dokument zaměstnavatelem vytvořen až po přístupu do jeho účtu.

Evropský soud pro lidská práva na základě skutečnosti, že mezi zprávami, ke kterým zaměstnavatel přistoupil, skutečně byla i řada zpráv soukromého charakteru, dospěl k závěru, že je nutno se zabývat právě zmíněným článkem 8 Úmluvy, neboť k zásahu do soukromí objektivně došlo. Bylo tedy nezbytné posoudit, zda Rumunsko při posuzování daného případu vyváženě posoudilo právo stěžovatele na ochranu jeho soukromého života a korespondence a oprávněné zájmy zaměstnavatele.

Soud nejprve konstatoval, že stěžovatel mohl uplatnit a také uplatnil námitku nezákonného zásahu do svého soukromí u rumunských soudů, přičemž tyto se jeho argumentací zabývaly, byť ji s odkazem na okolnosti případu a rumunský zákoník práce odmítly. Evropský soud pro lidská práva pokračoval obecným tvrzením, že není nedůvodné, aby zaměstnavatel kontroloval, zda zaměstnanci v pracovní době skutečně pracují. Podle názoru Evropského soudu pro lidská práva nebylo doloženo, že by zaměstnavatel přistupoval k dalším informacím v počítači daného zaměstnance, např. k uloženým dokumentům, naproti tomu využívání účtu v programu Yahoo Messenger bylo kontrolováno pouze v krátkém časovém období. Z toho soud dovodil, že v tomto případě se jednalo o omezený a přiměřený zásah do soukromí stěžovatele. K porušení čl. 8 Úmluvy tak podle názoru soudu v tomto případě nedošlo.

Disentní stanovisko

S výše uvedeným závěrem Evropského soudu pro lidská práva nesouhlasil jeden z rozhodujících soudců, pan Pinto de Albuquerque. Ve svém disentním stanovisku vycházel z toho, že právo na přístup k internetu musí být chápáno jakou součást práva na svobodu získávání a šíření informací. Státy tedy mají povinnost rozvíjet možnosti přístupu k internetu a spolu s tím garantovat související ochranu soukromí jeho uživatelů. Z mezinárodní úpravy ochrany osobních údajů[6] a z právní úpravy na úrovni Evropské unie[7] dovodil společné právní principy platné i pro sledování činnosti zaměstnanců na internetu v pracovní době.

Podle názoru disentujícího soudce je na prvém místě nezbytné, aby zaměstnavatel nastavil pravidla pro využívání internetu ze strany zaměstnanců, přičemž všeobecný zákaz využívání internetu pro soukromou potřebu je podle jeho názoru nepřípustný[8]. Zaměstnanci musí být s těmito pravidly nejen seznámeni, ale musí s nimi i výslovně souhlasit[9]. Zpracování osobních údajů zaměstnanců týkající se jejich využívání internetu, se kterým zaměstnanci nesouhlasili, se může dít pouze výjimečně a se schválením soudu. Zaměstnavatel by měl rovněž vždy posuzovat, zdali je pro kontrolu využívání pracovní doby a prostředků ze strany zaměstnanců možné využití méně invazivní nástroje, které by do soukromí zaměstnanců nezasahovaly v takové míře, jako přímé sledování jejich činnosti. Na základě těchto principů a s přihlédnutím k tomu, že nebylo doloženo, že v tomto konkrétním případě zaměstnavatel taková pravidla nastavil a zaměstnance s nimi seznámil, disentující soudce považuje postup zaměstnavatele za nepřiměřený a protiprávní a závěry rumunských soudů i Evropského soudu pro lidská práva za nesprávné.

Musím připustit, že disentní stanovisko mě silou svých argumentů nepřesvědčilo. Ač jistě lze souhlasit s tím, že nastavení pravidel pro využívání internetu zaměstnanci je vhodným, resp. nezbytným opatřením pro řádný výkon práv (blíže se tím zabývám v následující části článku), s ostatními závěry soudce de Albuquerque o nemožnosti plošně zakázat využívání internetu pro soukromou potřebu, nutnosti souhlasu zaměstnance s interními pravidly či přivolení soudu k přístupu do pracovního e-mailu určitého zaměstnance, souhlasit nemohu. Výrobní prostředky včetně připojení na internet jsou vlastnictvím zaměstnavatele, nikoliv těch, kdo s nimi pracují, a proto je jeho plným právem určit, zda je někdo další může využít i pro svoji potřebu. Omezování této možnosti je podle mého soudu nespravedlivým zásahem do vlastnického práva. Stejně tak nevím, jak by měl podle disentujícího soudce postupovat zaměstnavatel, kterým svým zaměstnancům zakáže využívat připojení k internetu pro sledování pornografie, pokud by s tím některý ze zaměstnanců nesouhlasil. Je povinen mu to umožnit? A opět, byl by takový přístup spravedlivý? Vyžadovat soudní přivolení k tomu, aby zaměstnavatel v případě, kdy je určitý zaměstnanec kupříkladu z důvodu nemoci dlouhodobě nepřítomný, přistoupil do jeho e-mailové schránky a zkontroloval hlavičky doručených zpráv, zda se mezi nimi nenachází třeba objednávka či faktura, potom považuji za velmi nepraktické.

Závěr pro praxi

Každý člověk má i při výkonu práce jistou míru soukromí, byť s ohledem na charakter práce více či méně sníženou[10]. Zaměstnavatel má na druhé straně legitimní právo rozhodovat o tom, jak bude využíván jeho majetek (výrobní prostředky) a rovněž právo jejich využívání kontrolovat. Toto právo vychází především z ústavní zásady ochrany vlastnického práva vyjádřené v čl. 11 Listiny základních práv a svobod. Na podústavní úrovni lze argumentovat především § 316 odst. 1 zákoníku práce: „Zaměstnanci nesmějí bez souhlasu zaměstnavatele užívat pro svou osobní potřebu výrobní a pracovní prostředky zaměstnavatele včetně výpočetní techniky ani jeho telekomunikační zařízení. Dodržování zákazu podle věty první je zaměstnavatel oprávněn přiměřeným způsobem kontrolovat.“

Při kontrole výkonu práce ze strany zaměstnanců či využívání prostředků zaměstnavatele je tak nezbytné mít na paměti oba legitimní zájmy – zájem zaměstnavatele na řádném výkonu práce a ochraně jeho majetku a zájem zaměstnance na respektování určité míry soukromí.[11]

Z pohledu zákonné úpravy je nutno odlišit, zda se jedná o dlouhodobé sledování či monitorování zaměstnance nebo o jednorázový, časově i obsahově omezený zásah (sledování činnosti na internetu, vstup do pracovní e-mailové schránky atd.). V prvém případě je takovéto dlouhodobé monitorování v souladu s § 316 odst. 2 zákoníku práce možná jen tam, kde zaměstnavatel současně splní (a doloží) dvě podmínky: zvláštní povahu své činnosti a z ní vycházející důvod pro takovýto dlouhodobý zásah do soukromí zaměstnance. Pokud se jedná o jednorázový zásah, který zároveň představuje zpracování osobních údajů[12], pak nám limity nastavuje především § 5 odst. 2 písm. e) zákona o ochraně osobních údajů. Toto ustanovení představuje základní právní titul pro obdobný typ zpracování údajů, jímž je ochrana práv či právem chráněných zájmů správce (v našem případě obvykle zaměstnavatele) či další dotčené osoby. Takovéto zpracování však nesmí být v rozporu s právem dotčené osoby na ochranu jejího soukromého a osobního života, jinak řečeno musí být přiměřené sledovanému legitimnímu cíli.

Jaké kroky jsou tedy podle mého názoru nezbytné či vhodné k tomu, aby případné monitorování činnosti zaměstnanců na internetu bylo přiměřené a zákonné? Podle mého názoru se jedná především o tyto:

  • 1) Nastavit jednoznačná pravidla upravující možné využití prostředků zaměstnavatele včetně využití přístupu k internetu k soukromým potřebám zaměstnanců. Zaměstnavatel samozřejmě podle své úvahy může takové využití zcela zakázat, umožnit ve více či méně omezeném rozsahu či využití internetu nijak neregulovat. Pokud však zaměstnavatel bude uvažovat o tom, že dodržování těchto pravidel kontroloval způsobem, který by znamenal možný zásah do práv zaměstnanců (sledování činnosti na internetu, kontrola hlaviček odesílaných zpráv, v mimořádných případech přístup přímo do textu zprávy), je nezbytné tuto skutečnost do interní politiky rovněž zahrnout.
  • 2) Zaměstnance, stávající i nově nastupující, o pravidlech pro využívání prostředků zaměstnavatele včetně přístupu na internet prokazatelně a přímo informovat. Informační povinnost nelze zaměňovat s vymáháním souhlasu dotčených zaměstnanců, který podle mého názoru v nastíněné problematice nemá místo. U zaměstnavatele je buď dán důvod pro dlouhodobé sledování zaměstnanců v souladu s § 316 odst. 2 zákoníku práce, a pak tak může činit i bez souhlasu zaměstnanců, nebo je jednorázové či jinak omezené zpracování údajů o zaměstnancích týkající se i jejich činnosti na internetu nezbytné a přiměřené pro ochranu práv zaměstnance, a ani zde tak není souhlasu zaměstnanců potřeba.
  • 3) Zvolit přiměřené a danému cíli odpovídající nástroje kontroly a podle okolností uvážit možnost opatření, která by do soukromí zaměstnanců nezasahovala vůbec nebo v menší míře. Může se jednat např. o taxativní vymezení webových stránek, které určitý zaměstnanec může navštěvovat (tzv. whitelist) nebo naopak rozličné formy stránek, na které je přístup blokován (sociální sítě, pornografické stránky atd.), stejně jako lze sledovat např. čas, který určitý zaměstnanec tráví na internetu bez toho, aby zaměstnavatel zaznamenával konkrétní stránky, které navštívil, tím méně např. jeho uživatelské jména a hesla na některých z navštívených stránek. V případě e-mailové či obdobné komunikace je možné sledovat pouze četnost odesílaných a přijímaných zpráv, případně včetně informací o adresátu či odesílateli, bez přístupu do jejich textu, který může být ryze osobní povahy a který obvykle není nezbytný pro posouzení toho, zda zaměstnanec respektuje pravidla o (ne)využívání prostředků zaměstnavatel pro soukromé účely.
  • 4) Jedním z pravidel práva oblasti ochrany osobních údajů je, že osobní údaje mohou být využívány pouze v souladu s účelem, ke kterému byly shromážděny[13]. K jiným účelům mohou být využívány pouze tehdy, pokud lze takové zpracování opřít o některý z právních titulů uvedených v § 5 odst. 2 zákona o ochraně osobních údajů. Pokud vyjdeme z toho, že účelem je kontrola dodržování interních pravidel zaměstnavatele, pak získané údaje svědčící o jejich porušení ze strany konkrétního zaměstnance mohou být využity právě a pouze v tomto směru, tzn. pro disciplinární postih zaměstnance, vymáhání náhrady škody, ukončení pracovního poměru či případně navazující soudní spor. Rozhodně by takto získaná data neměla být využívána např. pro kontrolu docházky či jako odstrašující případ být v neanonymizované podobě zpřístupněna či zveřejněna.

Závěr

Komentovaný rozsudek Evropského soudu pro lidská práva ve věci Barbulescu proti Rumunsku nepovažuji za převratný. Soud v něm, byť s poněkud kusým odůvodněním, dospěl k závěru, že je legitimní, aby zaměstnavatel za určitých okolností a přiměřeným způsobem kontroloval využití internetu ze strany svých zaměstnanců. Rozhodně tím nepřivolil k neomezenému či plošnému sledování veškeré jejich činnosti či jejich elektronické korespondence, jak byl nepřesně interpretován. Pokud hodlá zaměstnavatel činnost svých zaměstnanců na internetu kontrolovat, potom by měl, v zájmu zajištění svých práv i v zájmu práv svých zaměstnanců, postupovat způsobem, který jsem výše stručně naznačil.


Mgr. František Nonnemann,
autor je zaměstnancem Úřadu pro ochranu osobních údajů

e-mail:    nonnemann@volny.cz

Článek vyjadřuje osobní názor autora, nikoliv jeho zaměstnavatele.

------------------------------------------------------------------
[1] Rozsudek Evropského soudního dvora ve věci č. 61496/08 ze dne 12. ledna 2016.
[2] Byť se stěžovatelem namítané porušení práva na spravedlivý proces netýká předmětu tohoto článku, pro úplnost dodejme, že porušení čl. 6 Úmluvy nebylo Evropským soudem pro lidská práva shledáno (srov. bod 65 rozsudku).
[3] Např. Niemietz proti Německu, věc č. 13710/88, či E.B. proti Francii, věc č. 43546/02.
[4] Botta proti Itálii, věc č. 21439/93.
[5] Obdobně Halford proti Spojenému království, věc č. 20605/92 či Copland proti Spojenému království, věc č. 62617/00.
[6] Úmluva Rady Evropy o ochraně osob se zřetelem na automatizované zpracování osobních dat z roku 1981
[7] Především směrnice Evropského parlamentu a Rady 95/46/ES o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů.
[8] Srov. bod 11 disentního stanoviska.
[9] Bod 12 disentního stanoviska.
[10] Blíže viz Nonnemann, F. Soukromí na pracovišti. Právní rozhledy č. 7/2015.
[11] Blíže např. Morávek, J. Sledování zaměstnanců v kontextu novely zákoníku práce. Právní rozhledy č. 5/2012.
[12] Za zpracování osobních údajů je v souladu s § 4 písm. a) a e) zákona o ochraně osobních údajů nutno považovat každé za určitým účelem prováděné shromáždění a další využití informací o konkrétní nebo určitelné fyzické osobě, tedy např. vstup do několika málo e-mailů či přístup k jejich hlavičkám, jednorázové pořízení nahrávky jednání zaměstnance s klientem atd.
[13] Srov. § 5 odst. 1 písm. f) zákona o ochraně osobních údajů.


© EPRAVO.CZ – Sbírka zákonů, judikatura, právo | www.epravo.cz