Autor: Karolina Romanowska

„Bossware” z perspektywy polskiego prawa pracy i ochrony danych osobowych

Rozpowszechnienie pracy zdalnej w połączeniu z rozwojem technologii monitorowania spowodowały, że pracodawcy na całym świecie wdrażają różne, czasem technologicznie zaawansowane metody, aby sprawdzić wydajność pracowników i stopień ich zaangażowania w pracę. Coraz większą popularność w tym zakresie zdobywają rozwiązania informatyczne i programy, które potocznie nazywa się bossware (od połączenia słów „boss” oraz „software”).

Bossware może w praktyce obejmować różnorakie rozwiązania i technologie takie jak np.:

  • keyloggers monitorujące korzystanie przez pracownika z klawiatury służbowego komputera,
  • pobieranie i analiza zrzutów z ekranu służbowego urządzenia pracownika,
  • śledzenie ruchów myszki,
  • stała lub okresowa obserwacja pracownika z wykorzystaniem kamery (np. ruch gałek ocznych) lub mikrofonu urządzenia służbowego,
  • śledzenie aktywności pracownika w internecie,
  • monitorowanie sposobu wykorzystania poczty służbowej, kalendarza i służbowych komunikatorów,
  • analiza działania uruchamianych przez pracownika aplikacji i programów.

Cechą szczególną rozwiązań typu bossware jest częste wykorzystywanie analizy automatycznej, pozwalającej bez udziału przełożonych „flagować” pracowników, których produktywność, zaangażowanie czy sposób pracy odbiega od oczekiwanej przez pracodawcę normy.

Polscy pracodawcy również sięgają po bossware. Poniżej opisujemy, co w związku z tym powinni wziąć pod uwagę w świetle polskiego prawa pracy i ochrony danych osobowych.

Czytaj dalej

Czas na aktualizację standardowych klauzul umownych – już tylko do 27 grudnia 2022 r.

Zgodnie z RODO przekazywanie danych osobowych do tzw. krajów trzecich, a więc państw spoza Europejskiego Obszaru Gospodarczego, dopuszczalne jest jedynie w przypadku, gdy spełnione są określone w RODO warunki, tj. zasadniczo gdy:

Podmioty, które transferują dane osobowe poza Europejski Obszar Gospodarczy na bazie nieobowiązujących już standardowych klauzul umownych (a transfer ten rozpoczął się przed 27 września 2021 r.), powinny do 27 grudnia 2022 r. zawrzeć umowy bazujące na nowych klauzulach.

  • transfer następuje do państwa, w stosunku do którego Komisja Europejska stwierdziła, że zapewnia ono odpowiedni stopień ochrony (czyli wydała tzw. decyzję o adekwatności; dotychczas wydane decyzje dostępne są na stronie Komisji Europejskiej),
  • jeśli nie ma decyzji o adekwatności – gdy zapewnione zostaną tzw. odpowiednie zabezpieczenia, w tym w postaci zawarcia umowy opartej o standardowe klauzule umowne pomiędzy podmiotami zaangażowanymi w transfer,
  • jeśli nie ma decyzji o adekwatności ani wdrożenia odpowiednich zabezpieczeń – gdy zachodzi jedna ze szczególnych okoliczności określonych w RODO.
Czytaj dalej

Co wie o Tobie gra komputerowa, czyli jakie dane przetwarzają podmioty z branży gamingowej

Podmioty działające w branży gier komputerowych często uważają, że nie przetwarzają praktycznie żadnych danych osobowych. Piszemy o tym, jak mylne może być to przekonanie i na co w praktyce warto zwracać uwagę, aby nie narazić się na ryzyko kar finansowych.

Czytaj dalej

Czym jest prawo do danych osobowych?

Poszukując inspiracji dla docelowego ukształtowania statusu prawnego danych, warto przyjrzeć się bliżej temu, jak ukształtowane zostało prawo do danych osobowych. W szczególności należy się zastanowić, czy mamy w tym przypadku do czynienia z prawem majątkowym oraz czy aktualne uregulowanie prawa do danych osobowych odpowiada realiom oraz potrzebom.

O tym, że można podjąć próbę zdefiniowania bezwzględnego prawa do danych osobowych, decyduje przede wszystkim treść art. 1 ust. 2 RODO, który wskazuje, że jednym z celów rozporządzenia jest ochrona prawa do ochrony danych osobowych (w wersji angielskiej: right to the protection of personal data). Prawo do ochrony danych osobowych osoby, której dane dotyczą, statuują także Karta Praw Podstawowych Unii Europejskiej (2007/C 303/01) oraz Traktat o funkcjonowaniu Unii Europejskiej.

Źródło tego prawa znajduje się w aktach prawa europejskiego. Z tego powodu próba ustalenia treści prawa do ochrony danych jest utrudniona, nie można bowiem prosto i bezpośrednio odwołać się do konstrukcji znanych z poszczególnych porządków prawnych państw członkowskich.

Na istotę prawa do ochrony danych zdaje się wskazywać Punkt 7 Preambuły RODO, który stanowi, że osoby fizyczne powinny mieć kontrolę nad własnymi danymi osobowymi. Prawo do ochrony danych osobowych ma więc służyć przede wszystkim zapewnieniu podmiotom danych kontroli nad ich danymi. Szczegółową treść tego prawa definiują instrumenty ochronne przewidziane przez RODO. Instrumenty te polegają m.in. na zagwarantowanym prawie do informacji o przetwarzanych danych, prawie kontroli, ale również prawie do sprzeciwu względem przetwarzania danych. Wiele z tych uprawnień jest zbliżonych do wiązki praw występujących również w klasycznych konstrukcjach prawa własności. Istnieją jednak również istotne różnice.

Czytaj dalej