Pojęcie compliance
Na wstępnie warto podkreślić, że nie istnieje jedna legalna definicja pojęcia compliance. Praktyka i doktryna wypracowały opisową definicję tego terminu, według której compliance oznacza zapewnienie działania przedsiębiorstwa zgodnie z powszechnie obowiązującymi przepisami prawa, a także zgodnie z regułami wewnętrznymi ustanowionymi na potrzeby konkretnego przedsiębiorstwa. Wewnętrzne regulacje prawne mają stworzyć przede wszystkim mechanizmy szybkiego wykrywania w przedsiębiorstwie jakichkolwiek nieprawidłowości, np. poprzez system whistleblowing (wewnętrzna procedura umożliwiająca pracownikom i partnerom biznesowym anonimowe informowanie zarządu o nieprawidłowościach). Compliance odnosi się do wszelkich środków, które gwarantują prawidłowe funkcjonowanie przedsiębiorstwa, pozostając tym samym w ścisłej relacji do reguł corporate governance oraz reguł efektywnego zarządzania ryzykiem w spółce. Ma to szczególnie istotne znaczenie w przypadku giełdowych spółek akcyjnych.
Odpowiedzialność pracodawców związana z compliance
Dla członków zarządu bądź specjalnie wyznaczonych pracowników odpowiedzialnych za sprawy compliance (compliance officers), termin ten oznacza odpowiedzialność nie tylko o charakterze cywilnoprawnym, ale również karnym. W wyroku z dnia 17 lipca 2009 r. Niemiecki Trybunał Federalny (Bundesgerichtshof) orzekł, że compliance officers ponoszą odpowiedzialność karną o charakterze gwarancyjnym za zapobieganie popełnieniu przestępstw przez pracowników przedsiębiorstwa (wyrok BGH z dnia 17.07.2009, 5 StR 394/08, Neue Juristische Wochenschrift 2009, s. 3173). Wydaje się, że również w Polsce można by podjąć próbę skonstruowania odpowiedzialności karnej compliance officers na podstawie art. 296 Kodeksu karnego, który określa m.in. odpowiedzialność karną za niedopełnienie obowiązków wynikających z umowy zobowiązującej do zajmowania się sprawami majątkowymi lub działalnością gospodarczą osoby prawnej. W pojęciu "prowadzenie działalności gospodarczej" można by również zawrzeć obowiązki gwarancyjne dotyczące compliance.
W celu wypełnienia swoich obowiązków zarządcy jak i compliance officers muszą zostać wyposażeni w instrumenty prawne, które umożliwią im skuteczną kontrolę nad tym, co robią pracownicy w miejscu pracy, w tym do kogo wysyłają i od kogo odbierają e-maile.
W dzisiejszych czasach bowiem to właśnie wymiana mailowa jest najpowszechniejszym środkiem przekazywania informacji i jednocześnie najpoważniejszym źródłem zagrożenia wyciekiem tajemnic handlowych przedsiębiorstwa. Stąd też uregulowanie granic ochrony prywatności korespondencji mailowej pracowników ma tak istotne znaczenie praktyczne.
Nowe przepisy o ochronie danych osobowych pracowników w Niemczech
W dniu 25 lutego 2011 r. w niemieckim parlamencie odbyło się pierwsze czytanie projektu zmian do ustawy o ochronie danych osobowych pracowników (Gesetzentwurf zum Beschäftigtendatenschutz) przygotowanego przez niemiecki rząd federalny. Celem projektowanych zmian jest właśnie zapewnienie równowagi pomiędzy wyżej opisanymi interesami pracodawcy w zakresie compliance a ochroną prywatności pracowników. Projekt wprowadza przede wszystkim 13 nowych obowiązków informacyjnych dla pracodawcy, w tym również obowiązki informacyjne dotyczące korzystania ze środków komunikacji elektronicznej. Warto zaznaczyć, że nowa regulacja odnosi się jedynie do korzystania ze środków komunikacji elektronicznej dla celów służbowych. Zgodnie z projektowanym § 32i pracodawca będzie mógł zbierać, przetwarzać i wykorzystywać dane związane z używaniem przez pracownika środków komunikacji elektronicznej dla celów służbowych, o ile jest to niezbędne do zapewnienia prawidłowego funkcjonowania sieci i usług telekomunikacyjnych, w tym bezpieczeństwa danych, jak również dla celów rozliczeniowych oraz przeprowadzenia kontroli jakości świadczenia pracy, przy czym kontrola ta może mieć charakter jedynie wybiórczy i przypadkowy. Uprawnienia pracodawcy będą jednakże ograniczone koniecznością przestrzegania prawnie chronionych interesów pracownika. Ponadto pracodawca będzie zobligowany do poinformowania pracownika o zbieraniu, przetwarzaniu czy też wykorzystywaniu danych jego dotyczących. Jeżeli chodzi zaś o treść informacji, to niemiecki projekt przewiduje rozróżnienie treści rozmów telefonicznych oraz pozostałych treści przekazywanych za pomocą środków komunikacji elektronicznej takich jak np. e-maile. W przypadku e-maili kontrola ich treści będzie dopuszczalna, jeżeli nie istnieją żadne prawnie chronione interesy pracownika przeważające nad interesem pracodawcy. Dotyczy to także sytuacji nieobecności pracownika w pracy, gdy dostęp do jego korespondencji mailowej jest konieczny do zapewnienia prawidłowego funkcjonowania przedsiębiorstwa.
Na marginesie warto wspomnieć, iż pracodawca w Niemczech, udostępniając środki komunikacji elektronicznej do dyspozycji pracownika dla celów prywatnych, podlega przepisom o tajemnicy telekomunikacyjnej określonej w § 88 niemieckiego prawa telekomunikacyjnego (Telekommunikationsgesetz), jako dostawca usług telekomunikacyjnych w stosunku do pracownika. Projektowane zmiany, pomimo licznych postulatów, nie wprowadzają wyłączenia stosowania przepisów o tajemnicy telekomunikacyjnej w stosunku do pracodawcy. W związku z licznymi obowiązkami związanymi z przestrzeganiem tajemnicy telekomunikacyjnej pracodawcy w Niemczech bardzo często wyłączają możliwość korzystania przez pracowników ze środków komunikacji elektronicznej dla celów prywatnych. Projektowana regulacja odnosi się bardzo krótko do prywatnych danych i treści pracowników, wskazując jedynie, że mogą one być przez pracodawcę zbierane, przetwarzane czy też wykorzystywane jedynie, gdy będzie to konieczne do prawidłowego funkcjonowania przedsiębiorstwa, a pracownik otrzymał pisemną informację o takich działaniach pracodawcy. Należy pamiętać, że Europejski Trybunał Praw Człowieka w wyroku z dnia 3 kwietnia 2007 r. (sprawa Copland v. Wielka Brytania, no. 62617/00) przyznał, że prawo do prywatności i tajemnicy korespondencji, określone w art. 8 Konwencji o Ochronie Praw Człowieka i Podstawowych Wolności, obejmuje także korespondencję mailową oraz kontrolowanie danych o ruchu w sieci.
Potrzeba stworzenia regulacji prawnej w Polsce
Jakiś czas temu pojawiły się postulaty wprowadzenia w Polsce odrębnej regulacji, która uporządkowałaby m.in. zagadnienia kontroli korespondencji mailowej pracowników przez pracodawcę. Wydaje się, że w dobie powszechnego korzystania ze środków komunikacji elektronicznej w miejscu pracy taka regulacja powinna pojawić się jak najszybciej. Ze względu na specyfikę ochrony danych osobowych pracowników w relacji do konieczności ochrony interesów pracodawcy, wskazane byłoby wprowadzenie szczegółowych rozwiązań prawnych w tym zakresie w Kodeksie pracy. Projekt niemieckiej ustawy z pewnością nie rozwiązuje wszystkich problemów odnośnie ochrony prywatności pracowników w miejscu pracy, jednakże może być dla nas dobrym przykładem podejmowania działań legislacyjnych w tym obszarze.
Agnieszka Witaszek, aplikant radcowski,
członek Okręgowej Izby Radców Prawnych w Warszawie, związana z warszawskim biurem kancelarii Noerr od 2010 r.