Wykorzystywanie portali społecznościowych w rekrutacji, monitorowanie komunikacji elektronicznej w miejscu pracy i aktywności pracowników w social media – to najważniejsze kwestie, jakimi Grupa Robocza Art. 29 zajęła się w swojej opinii na temat przetwarzania danych w miejscu pracy. Sprawdź, co Grupa Robocza radzi w sprawie wykorzystywania nowych technologii w celu monitorowania pracowników.
8 czerwca 2017 r. Grupa Robocza Art. 29 przyjęła Opinię 2/2017 dotyczącą przetwarzania danych w miejscu pracy. Uzupełnia ona wcześniejszą Opinię 8/2001 dotyczącą przetwarzania danych w kontekście zatrudnienia (WP 48) oraz dokument roboczy z 2002 roku o nadzorze komunikacji elektronicznej w miejscu pracy (WP 55).
Aktualizacja stanowiska Grupy Roboczej Art. 29 stała się konieczna w związku z rozwojem nowych technologii, które umożliwiają systematyczne przetwarzanie danych osobowych pracowników, w tym monitorowanie ich zachowań. Wspomniane technologie są przy tym coraz tańsze, a tym samym coraz łatwiej dostępne. Z drugiej strony ingerują one mocniej w prywatność pracowników, chociażby dlatego, że są mniej widoczne (w przeciwieństwie do np. tradycyjnych kamer) i mają zdolność do gromadzenia ogromnych ilości danych. W związku z tym Grupa Robocza na nowo oceniła równowagę pomiędzy uzasadnionym interesem pracodawców w kontrolowaniu niektórych aspektów życia zawodowego a rozsądnym oczekiwaniem pracowników odnośnie do pewnego stopnia prywatności także w miejscu pracy.
Grupa Robocza przestrzega, że pracodawcy nie powinni zakładać, iż tylko dlatego, że profil użytkownika w mediach społecznościowych jest publicznie dostępny, mogą oni przetwarzać zawarte tam dane dla swoich własnych celów. Takie przetwarzanie wymaga podstawy prawnej, którą może być prawnie uzasadniony interes pracodawcy. Istnienie uzasadnionego interesu będzie zależało m.in. od charakteru stanowiska, którego dotyczy rekrutacja.
W opinii wskazano, że pracodawca powinien wziąć pod uwagę w pierwszej kolejności, czy profil kandydata związany jest z jego aktywnością zawodową, czy prywatną (np. Linkedein kontra Facebook), ponieważ może to być ważnym wskaźnikiem dopuszczalności prawnej przetwarzania danych zawartych na tym profilu. Kandydaci powinni być także właściwie poinformowani o tym, że pracodawca będzie weryfikował informacje o nich przy użyciu portali społecznościowych.
Grupa Robocza podkreśla, że ze względu na ryzyko pozyskania przez pracodawcę wielu informacji dotyczących życia prywatnego czy rodzinnego pracownika, kontrola pracowników w mediach społecznościowych nie powinna być generalnie dozwolona. Również w tym przypadku pracodawca powinien mieć uzasadniony interes, aby monitować profile swoich pracowników na portalach społecznościowych. Jako przykład sytuacji, w której taki interes będzie istniał, Grupa Robocza podaje monitowanie przez pracodawcę profili byłych pracowników, którzy są objęci zakazem konkurencji, na LinkedIn, by sprawdzić, czy te osoby przestrzegają zakazu.
Opinia Grupy Roboczej porusza także bardzo istotne zagadnienie monitorowania komunikacji elektronicznej w miejscu pracy (np. telefonów, przeglądarek internetowych, skrzynek mailowych), co od dawna jest uznawane za jedno z największych zagrożeń dla prywatności pracowników. Tematu tego dotyczył już wcześniejszy dokument roboczy z 2002 roku o nadzorze komunikacji elektronicznej w miejscu pracy (WP 55), gdzie umieszczone zostały wnioski związane z monitorowaniem korespondencji e-mailowej oraz korzystania z Internetu. Oczywiście wnioski te pozostają nadal aktualne, ale należy wziąć pod uwagę rozwój technologiczny, który zapewnił pracodawcom nowsze oraz potencjalnie bardziej inwazyjne i wszechobecne formy monitoringu.
Bez względu na rozwój technologii czy też możliwości, jakie ona zapewnia, pracodawca, monitorując aktywność pracowników, może powołać się na uzasadniony interes jako podstawę przetwarzania danych (np. potrzebę zabezpieczenie sieci oraz danych pracowników i klientów przed nieuprawnionym dostępem czy wyciekiem danych), gdy zostaną spełnione określone przesłanki.
Przede wszystkim pracodawca musi pamiętać o zasadzie proporcjonalności zastosowanych środków i nie powinien, co do zasady, śledzić aktywności pracowników w sytuacji, gdy zachwiana jest równowaga między prawnie chronionymi interesami pracodawcy a prywatnością pracowników. Z tego względu urządzenie śledzące aktywność pracowników powinno być skonfigurowana tak, aby nie rejestrować przykładowo korzystania z prywatnej poczty internetowej, wizyt pracowników na witrynach bankowości elektronicznej czy witrynach dotyczących zdrowia. Monitorowanie każdej aktywności online pracowników może być bowiem nieproporcjonalnym działaniem i naruszeniem prawa do prywatności korespondencji. Urządzenia kontrolne powinny być także skonfigurowane w taki sposób, aby zapobiec stałemu rejestrowaniu aktywności pracowników.
Aby ograniczyć ryzyko naruszenia prywatności, pracodawca może również zaproponować niemonitorowany dostęp do sieci dla pracowników, np. oferując bezpłatne WiFi lub samodzielne urządzenia lub terminale (z odpowiednimi gwarancjami zapewniającymi poufność komunikacji), z których pracownicy będą mogli korzystać do celów prywatnych.
Ważne jest także, aby pracownik korzystający z określonych aplikacji udostępnionych przez pracodawcę mógł wyznaczyć prywatną przestrzeń, do której pracodawca nie będzie miał dostępu, chyba że pod określonymi warunkami, np. korzystając z kalendarza, będzie mógł oznaczyć swoje prywatne wyjście jako wydarzenie „prywatne”, do którego pracodawca czy inni pracownicy nie będą mieli dostępu.
Pracodawca powinien także rozważyć, czy nie mogą zostać zastosowane jakiekolwiek mniej inwazyjne środki. Przykładowo, jeśli możliwe jest zablokowanie niektórych stron internetowych, zamiast ciągłego monitorowania aktywności pracownika w Internecie, należy wybrać właśnie takie blokowanie. Grupa Robocza wskazuje, że prewencja powinna być znacznie ważniejsza niż wykrywanie – interesy pracodawcy są lepiej chronione poprzez zapobieganie nadużyciom, niż poprzez zwiększanie środków na wykrywanie nadużyć.
Technologie umożliwiające pracodawcom monitowanie ruchu ich pojazdów są obecnie szeroko rozpowszechnione. Umożliwiają one zbieranie zarówno danych dotyczących samego pojazdu, jak i pracownika, który z niego korzysta, np. dane z GPS dostarczą informacji o lokalizacji pojazdu (a tym samym pracownika), ale także o zachowaniach kierowcy (np. czy przekracza prędkość). Pracodawca może korzystać z tych technologii np. w celu zapewnienia bezpieczeństwa pracownikom. Pracodawca może mieć również uzasadniony interes w posiadaniu informacji o położeniu jego pojazdów (np. ochrona mienia przed kradzieżą).
Pracodawcy muszą jednak pamiętać, że w przypadku, gdy zezwalają na prywatne użycie samochodu służbowego, ciągle śledzenie jego lokalizacji może doprowadzić do naruszenia prywatności pracownika. Aby tego uniknąć, pracodawcy mogą zapewnić pracownikom możliwość tymczasowego wyłączenia śledzenia lokalizacji, kiedy uzasadniają to okoliczności, np. na czas wizyty pracownika u lekarza. Drugim rozwiązaniem jest wyłączenie urządzeń lokalizujących po godzinach pracy pracownika. Pracodawca nie ma co do zasady interesu w śledzeniu położenia auta, które może być używane do celów prywatnych poza czasem pracy, chociaż może to być konieczne np. dla zabezpieczenia auta przed kradzieżą. Grupa Robocza sugeruje, że w takim przypadku pracodawca może zastosować rozwiązanie polegające na tym, że rejestracja lokalizacji pojazdu rozpocznie się, dopiero kiedy opuści on z góry zdefiniowany region.
Pracodawca musi również poinformować pracowników o tym, że urządzenie śledzące lokalizację zostało zainstalowane w samochodzie, który powierza pracownikowi. Taka informacja powinna być umieszczona w każdym samochodzie w zasięgu wzroku kierowcy.
Grupa Robocza jest niezależny podmiotem o charakterze doradczym. Polska w Grupie Roboczej reprezentowana jest przez Generalnego Inspektora Ochrony Danych Osobowych. Opinie Grupy Roboczej nie są zatem wiążące. Praktyczne znaczenie opinii dotyczących przetwarzania danych osobowych pracowników może być jednak bardzo duże dla państw członkowskich. Wynika to z tego, że ogólne rozporządzenie o ochronie danych (rodo) przewiduje w art. 88, iż państwa członkowskie mogą zawrzeć w swoich przepisach lub w porozumieniach zbiorowych bardziej szczegółowe przepisy mające zapewnić ochronę praw i wolności w przypadku przetwarzania danych osobowych pracowników w związku z zatrudnieniem.
Opinia Grupy Roboczej Art. 29 dotycząca przetwarzania danych w miejscu pracy będzie zatem cenną wskazówką dla państw członkowskich odnośnie do tego, jak uregulować kwestie związane z monitoringiem pracowników.
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl