Prywatność w dobie cyfryzacji stała się towarem deficytowym, a pytanie o to, co wolno śledzić, a czego nie, budzi emocje zarówno u pracowników, jak i zwykłych użytkowników internetu. W Polsce kwestie te są ściśle regulowane przez ogólne rozporządzenie o ochronie danych osobowych (RODO) oraz krajowe przepisy, takie jak Kodeks pracy czy Prawo telekomunikacyjne. Choć technologia pozwala na niemal całkowitą inwigilację naszych poczynań w sieci i na urządzeniach, prawo stawia tutaj wyraźne granice, których przekroczenie może słono kosztować.

Fundament ochrony, czyli RODO i zasada dobrowolności

W sercu wszystkich regulacji dotyczących śledzenia aktywności leży RODO. Zgodnie z jego przepisami, przetwarzanie danych osobowych (a historia przeglądania czy treść wiadomości SMS bez wątpienia nimi są) jest legalne tylko wtedy, gdy opiera się na jednej z konkretnych podstaw prawnych. Najczęściej jest to świadoma, dobrowolna i jednoznaczna zgoda użytkownika.

Warto podkreślić, że zgoda nie może być „wymuszona” ani ukryta w gąszczu regulaminów. Jeśli aplikacja prosi o dostęp do Twoich SMS-ów, a nie jest to niezbędne do jej funkcjonowania (np. aplikacja do latarki), takie żądanie jest sprzeczne z zasadą minimalizacji danych. Użytkownik musi mieć realny wybór – jeśli nie wyrazi zgody, usługa (o ile to technicznie możliwe) powinna nadal działać w podstawowym zakresie.

Monitoring w miejscu pracy a polski Kodeks pracy

Kwestia śledzenia aktywności nabiera szczególnego znaczenia w relacji pracodawca-pracownik. W Polsce reguluje to artykuł 22(2) oraz 22(3) Kodeksu pracy. Pracodawca ma prawo monitorować pocztę elektroniczną oraz „inne formy monitoringu”, jeśli jest to niezbędne do zapewnienia pełnego wykorzystania czasu pracy oraz właściwego użytkowania udostępnionych narzędzi.

Istnieją jednak twarde restrykcje:

• Obowiązek informacyjny: Pracodawca musi poinformować pracownika o wprowadzeniu monitoringu co najmniej 2 tygodnie przed jego uruchomieniem.
• Zakaz naruszania dóbr osobistych: Monitoring nie może naruszać tajemnicy korespondencji w celach prywatnych. Jeśli pracownik wyśle prywatnego maila z komputera służbowego, pracodawca co do zasady nie powinien zgłębiać jego treści, nawet jeśli ma prawo wiedzieć, że taki mail został wysłany.
• Keyloggery i zrzuty ekranu: Instalowanie oprogramowania rejestrującego każde uderzenie w klawisze (keylogger) jest w Polsce uznawane za bardzo kontrowersyjne i zazwyczaj nieproporcjonalne do celu. Sądy i organy nadzorcze (UODO) często stoją na stanowisku, że jest to zbyt głęboka ingerencja w prywatność.

Czy nagrywanie rozmów i czytanie SMS-ów jest legalne?

Tutaj wkraczamy na grunt Prawa telekomunikacyjnego oraz Kodeksu karnego. Zgodnie z art. 267 Kodeksu karnego, kto bez uprawnienia uzyskuje dostęp do informacji dla niego nieprzeznaczonej (np. poprzez założenie podsłuchu lub przejęcie wiadomości SMS), podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.

W kontekście automatycznego śledzenia, np. przez aplikacje mobilne, kluczowa jest zgoda użytkownika wyrażona w systemie operacyjnym (Android/iOS). Jeśli aplikacja „szpieguje” bez wyraźnego poinformowania o tym fakcie, mamy do czynienia z naruszeniem prawa. W relacjach biznesowych nagrywanie rozmów (np. na infoliniach) wymaga uprzedniego poinformowania rozmówcy i uzyskania jego zgody (zazwyczaj poprzez kontynuowanie rozmowy po usłyszeniu komunikatu).

Historia przeglądania i pliki cookies

Śledzenie historii przeglądania w celach marketingowych reguluje art. 173 Prawa telekomunikacyjnego. Każdy serwis internetowy ma obowiązek poinformować użytkownika o stosowaniu plików cookies (ciasteczek) i innych technologii śledzących. Użytkownik musi mieć możliwość określenia zakresu tego śledzenia.

Obecnie standardem, wymuszonym przez wyroki Trybunału Sprawiedliwości UE, jest to, że okienka typu „consent banner” nie mogą mieć domyślnie zaznaczonych zgód na marketing i profilowanie. To Ty musisz kliknąć „akceptuję”, a brak działania nie może być uznany za zgodę.

Ciekawostka: Czym jest „fingerprinting”?

W odpowiedzi na coraz częstsze blokowanie ciasteczek przez użytkowników, firmy technologiczne zaczęły stosować tzw. browser fingerprinting. Polega to na zbieraniu unikalnych informacji o Twoim urządzeniu: rozdzielczości ekranu, zainstalowanych czcionkach, wersji systemu czy strefie czasowej. Te dane pozwalają stworzyć unikalny „odcisk palca” Twojej przeglądarki, co umożliwia śledzenie Cię bez zapisywania jakichkolwiek plików na Twoim dysku. Z punktu widzenia RODO, taka praktyka również wymaga jasnej podstawy prawnej i poinformowania użytkownika.

Co zrobić w przypadku naruszenia prywatności?

Jeśli podejrzewasz, że Twoja aktywność jest śledzona niezgodnie z prawem (np. przez pracodawcę bez uprzedzenia lub przez aplikację bez Twojej zgody), masz kilka ścieżek działania:

1. Skarga do UODO: Urząd Ochrony Danych Osobowych może przeprowadzić kontrolę i nałożyć na podmiot wysokie kary finansowe.
2. Droga cywilna: Możesz pozwać podmiot o naruszenie dóbr osobistych (prawo do prywatności, tajemnica korespondencji).
3. Zawiadomienie o przestępstwie: W przypadku nielegalnego podsłuchu lub włamania na konto (hackingu), sprawą może zająć się policja i prokuratura.

Pamiętaj, że w polskim systemie prawnym Twoja prywatność jest chroniona konstytucyjnie, a RODO jedynie doprecyzowuje te zasady w świecie cyfrowym. Automatyczne śledzenie bez Twojej wiedzy i wyraźnego celu niemal zawsze będzie stało w sprzeczności z obowiązującymi przepisami.