„Bossware” z perspektywy polskiego prawa pracy i ochrony danych osobowych
Rozpowszechnienie pracy zdalnej w połączeniu z rozwojem technologii monitorowania spowodowały, że pracodawcy na całym świecie wdrażają różne, czasem technologicznie zaawansowane metody, aby sprawdzić wydajność pracowników i stopień ich zaangażowania w pracę. Coraz większą popularność w tym zakresie zdobywają rozwiązania informatyczne i programy, które potocznie nazywa się bossware (od połączenia słów „boss” oraz „software”).
Bossware może w praktyce obejmować różnorakie rozwiązania i technologie takie jak np.:
- keyloggers monitorujące korzystanie przez pracownika z klawiatury służbowego komputera,
- pobieranie i analiza zrzutów z ekranu służbowego urządzenia pracownika,
- śledzenie ruchów myszki,
- stała lub okresowa obserwacja pracownika z wykorzystaniem kamery (np. ruch gałek ocznych) lub mikrofonu urządzenia służbowego,
- śledzenie aktywności pracownika w internecie,
- monitorowanie sposobu wykorzystania poczty służbowej, kalendarza i służbowych komunikatorów,
- analiza działania uruchamianych przez pracownika aplikacji i programów.
Cechą szczególną rozwiązań typu bossware jest częste wykorzystywanie analizy automatycznej, pozwalającej bez udziału przełożonych „flagować” pracowników, których produktywność, zaangażowanie czy sposób pracy odbiega od oczekiwanej przez pracodawcę normy.
Polscy pracodawcy również sięgają po bossware. Poniżej opisujemy, co w związku z tym powinni wziąć pod uwagę w świetle polskiego prawa pracy i ochrony danych osobowych.
Bossware jako monitoring pracowników
Korzystanie z rozwiązań typu bossware w wielu przypadkach można zakwalifikować jako prowadzenie tzw. innych form monitoringu pracowników w rozumieniu Kodeksu pracy. W związku z tym przed wdrożeniem bossware pracodawca powinien wnikliwie przeanalizować, czy planowane rozwiązania można zakwalifikować jako monitoring pracowników. Jeśli tak, przed rozpoczęciem ich stosowania trzeba będzie wykonać wymagane przez Kodeks pracy czynności, czyli:
- ustalić cele, zakres oraz sposób zastosowania monitoringu w układzie zbiorowym pracy lub w regulaminie pracy albo w obwieszczeniu, jeżeli pracodawca nie jest objęty układem zbiorowym pracy lub nie jest obowiązany do ustalenia regulaminu pracy,
- poinformować pracowników o wprowadzeniu monitoringu w sposób przyjęty u danego pracodawcy, nie później niż 2 tygodnie przed jego uruchomieniem,
- zastosować (jeśli to możliwe) widoczne i czytelne oznaczenia, które mają sygnalizować i przypominać pracownikom, że są przedmiotem monitoringu z wykorzystaniem bossware.
Jeśli wdrażane przez pracodawcę rozwiązania można zakwalifikować jako monitoring pracowników w rozumieniu Kodeksu pracy, cel korzystania przez pracodawcę z tych rozwiązań będzie ograniczony do zapewnienia organizacji pracy umożliwiającej pełne wykorzystanie czasu pracy oraz właściwego użytkowania udostępnionych pracownikowi narzędzi pracy. Jest to o tyle istotne, że w takiej sytuacji może się okazać, że szeregu funkcjonalności oferowanych przez dostawców zewnętrznych pracodawca nie będzie mógł w pełni wykorzystać, jako że mogą one monitorować pracowników i zbierać informacje o ich pracy dla celów wykraczających poza zapewnienie organizacji pracy umożliwiającej pełne wykorzystanie czasu pracy oraz właściwe użytkowanie udostępnionych pracownikowi narzędzi pracy.
Bossware a zasady przetwarzania danych osobowych
Działanie bossware będzie się, co do zasady, wiązać z przetwarzaniem danych osobowych pracowników. W związku z tym wdrożenie i wykorzystywanie tego rodzaju rozwiązań przez pracodawcę (jako administratora danych pracowników) musi być dokonane w zgodzie z zasadami przetwarzania danych osobowych wynikających z art. 5 RODO. Oznacza to, w szczególności, że:
- Z uwagi na zasadę minimalizacji przetwarzania danych zakres przetwarzania danych osobowych z wykorzystaniem bossware musi być ograniczony do tego, co jest niezbędne do realizacji celów, w których dane będą przetwarzane. Jeśli bossware będzie stanowić element monitoringu pracowników, cele wykorzystywania bossware będą wynikać z przepisów Kodeksu pracy dotyczących monitoringu, a zakres przetwarzania danych powinien być ograniczony do tego, co niezbędne, by te cele zrealizować.
- Rozwiązania należy wdrożyć zgodnie z zasadami privacy by default i by design, z odpowiednim uwzględnieniem wewnętrznych procedur pracodawcy w zakresie ochrony danych osobowych (np. z udziałem inspektora ochrony danych, jeśli jest wyznaczony). Należy też udokumentować działania mające na celu zapewnienie zgodności działania pracodawcy z RODO, tak aby zapewnić realizację wynikającej z RODO zasady rozliczalności.
- Dane osobowe zebrane przez bossware mogą być przechowywane w formie umożliwiającej identyfikację pracownika przez okres nie dłuższy, niż będzie to niezbędne do celów, w których dane te są przetwarzane. Przepisy Kodeksu pracy dotyczące innych form monitoringu nie wskazują dozwolonych okresów retencji danych. Jeśli bossware stanowić będzie element monitoringu pracowników, każdy pracodawca będzie zatem zmuszony wyznaczyć okres retencji samodzielnie, co może być w praktyce wyzwaniem. Zbyt krótki okres sprawi, że bossware będzie mniej efektywne, a zasadność biznesowa korzystania z niego ograniczona. Wyznaczenie zbyt długiego okresu może z kolei kreować ryzyko naruszenia RODO przez pracodawcę.
Zautomatyzowane podejmowanie decyzji
Jak wskazano powyżej, produkty bossware często samodzielnie, bez udziału przełożonych, „flagują” pracowników na podstawie analizy ich zachowania w trakcie pracy. W związku z tym wskazane jest, by rozwiązania bossware podlegały przed wdrożeniem ocenie, czy i w jakim zakresie mogą stanowić tzw. zautomatyzowane podejmowanie decyzji, o którym mowa w art. 22 RODO. Zgodnie z art. 22 ust. 1 RODO „Osoba, której dane dotyczą, ma prawo do tego, by nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołuje wobec tej osoby skutki prawne lub w podobny sposób istotnie na nią wpływa”. W przypadku uznania bowiem, że rozwiązanie bossware objęte jest zakresem zastosowania art. 22 ust. 1 RODO, wdrożenie takiego rozwiązania może wiązać się dla pracodawcy z szeregiem dodatkowych istotnych wyzwań prawnych, takich jak konieczność zidentyfikowania dodatkowej podstawy legalizującej takie działania w art. 22 ust. 2 RODO czy konieczność zapewnienia pracownikowi prawa do uzyskania interwencji ludzkiej w odniesieniu do decyzji podjętych przez bossware w stosunku do pracownika.
Rozwiązanie bossware może prowadzić do zautomatyzowanego podejmowania decyzji w rozumieniu RODO, jeśli spełnione są łącznie trzy warunki:
- Bossware przetwarza dane osobowe pracowników. Biorąc pod uwagę szeroką definicję danych osobowych (która obejmować może również informacje o zachowaniach konkretnych osób fizycznych) oraz fakt, że istotą działania rozwiązań bossware jest obserwacja zachowań konkretnych pracowników, ich rejestracja oraz analiza, należy założyć, że działanie większości rozwiązań typu bossware będzie wiązało się z przetwarzaniem danych osobowych pracowników.
- Działanie bossware prowadzi do podejmowania wobec pracownika decyzji wyłącznie w oparciu o działanie programu. Jeśli oprogramowanie jedynie np. przedstawia wytyczne lub podsumowanie dotyczące aktywności pracownika, które następnie są analizowane przez przełożonego lub inną osobę w strukturze pracodawcy, i dopiero ta osoba na ich podstawie podejmuje decyzje wobec pracownika, to można twierdzić, że decyzja nie została podjęta wyłącznie w oparciu o działanie programu. W tym kontekście istotny jest podgląd wyrażony przez Europejską Radę Ochrony Danych w wytycznych w sprawie zautomatyzowanego podejmowania decyzji w indywidualnych przypadkach i profilowania do celów rozporządzenia 2016/679/UE, zgodnie z którym Administrator nie może symulować interwencji ludzkiej, aby uniknąć sytuacji, w której zastosowanie ma art. 22 RODO. W ramach oceny skutków dla ochrony danych administrator powinien określić i udokumentować stopień interwencji ludzkiej w proces podejmowania decyzji oraz etap, na którym zachodzi taka interwencja ludzka. Aby działanie administratora mogło być uznane za interwencję ludzką, musi on zapewnić, aby nadzór nad podejmowaniem decyzji był istotny, a nie jedynie symboliczny. Takie działanie musi podejmować osoba, która ma uprawnienia i kompetencje do zmiany decyzji. Przeprowadzając analizę, taka osoba musi uwzględnić wszystkie istotne dane. Należy więc rozważyć, w jaki sposób wykorzystywane będą informacje pochodzące z bossware oraz czy określone działania czy decyzje wobec pracownika podejmowane będą z odpowiednim, rzeczywistym i udokumentowanym udziałem przełożonych pracownika.
- Decyzja lub decyzje, o której mowa w pkt 2, wywołuje wobec pracownika skutki prawne lub w podobny sposób istotnie na niego wpływa. Przykładem skutku prawnego jest zmiana praw lub obowiązków pracownika, np. w postaci rozwiązania umowy o pracę. Działanie bossware raczej nie będzie wywierać takiego skutku. Nie można jednak wykluczyć ryzyka, że działanie bossware w praktyce może prowadzić do wywoływania podobnie istotnych skutków dla pracowników. Zgodnie z podglądem wyrażonym przez Europejską Radę Ochrony Danych w ww. wytycznych: Aby można było uznać, że przetwarzanie danych wywiera istotny wpływ na określoną osobę, skutki tego przetwarzania muszą być dostatecznie znaczące lub istotne, by uzasadniały zainteresowanie się daną sprawą. Innymi słowy, decyzja musi stwarzać ryzyko: (i) wywarcia istotnego wpływu na sytuację danej osoby, jej zachowanie lub podejmowane przez nią wybory; (ii) wywarcia długotrwałego lub trwałego wpływu na osobę, której dane dotyczą; lub (iii) w najbardziej ekstremalnym przypadku, doprowadzenia do wykluczenia lub dyskryminacji osób fizycznych. Gdyby np. działanie bossware wiązało się z krytyczną oceną pracownika lub reprymendą wysyłaną do pracownika przez oprogramowanie, nie można wykluczyć ryzyka, że takie działania w kontekście stosunku pracy, w pewnych przypadkach (zależnych m.in. od formy i treści wysyłanego komunikatu) można by uznać za wywołujące istotne skutki wobec pracownika, wpływając na jego zachowanie w pracy lub sposób wykonywania obowiązków. Dlatego pracodawcy, decydując się na stosowanie bossware, powinni być świadomi, czy i jak samo działanie bossware może wpływać na pracowników. Pozwoli to ocenić, czy taki wpływ może stanowić „inny istotny skutek” dla pracownika w rozumieniu art. 22 RODO.
Ponieważ – jak wskazano w pkt. 2 i 3 – kwestia, czy dane rozwiązanie obejmuje zautomatyzowane podejmowanie decyzji w rozumieniu RODO, może zależeć od dość szczegółowych okoliczności oraz niuansów, wskazane jest, by wdrażanie rozwiązań bossware było poprzedzone szczegółową analizą tych zagadnień w odniesieniu do konkretnego przypadku. Wymaga to uwzględnienia zarówno ogólnych cech i funkcjonalności danego oprogramowania, jak i jego ustawień, które mogą być skonfigurowane indywidualnie przez pracodawcę.
Ocena skutków przetwarzania dla ochrony danych
Zgodnie z RODO, jeżeli dany rodzaj przetwarzania danych osobowych – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator przed rozpoczęciem przetwarzania powinien dokonać tzw. oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych (tzw. DPIA).
Analizując przesłanki obowiązkowego przeprowadzenia DPIA oraz wytyczne organów w tym zakresie, nie można wykluczyć ryzyka, że rozwiązania typu bossware mogą wymagać przeprowadzenia tego rodzaju oceny przez pracodawcę przed ich wdrożeniem. Brak przeprowadzenia oceny DPIA w sytuacji, w której byłaby ona wymagana, stanowi naruszenie RODO.
Dlatego, aby zminimalizować ryzyko naruszenia RODO, pracodawcy powinni ocenić dane rozwiązanie pod kątem konieczności przeprowadzenia w stosunku do niego DPIA. Jeśli przeprowadzenie oceny DPIA okaże się konieczne, warto pamiętać, że w przypadku zaawansowanych technologicznie rozwiązań może to być niekiedy dość czasochłonne i wymagać zaangażowania specjalistów z różnych dziedzin (np. prawników, informatyków czy specjalistów z obszaru cyberbezpieczeństwa), a także wsparcia zewnętrznego dostawcy oferującego dane rozwiązanie. Planując wdrożenie takich rozwiązań, warto więc przewidzieć odpowiednie środki i czas na przeprowadzenie DPIA.
Przepływy danych osobowych w związku ze wdrożeniem bossware
Rozwiązania bossware w praktyce bywają wdrażane w ramach grup kapitałowych i obejmują wiele podmiotów. W efekcie dane osobowe przetwarzane przez takie rozwiązania mogą być przesyłane pomiędzy różnymi spółkami z grupy lub różne spółki z grupy (a nie tylko pracodawca danego pracownika) mogą mieć dostęp do takich danych. By zminimalizować ryzyko naruszenia RODO (poprzez dopuszczenie do tego, by do danych osobowych pracowników miały dostęp osoby nieupoważnione zatrudnione przez podmioty inne niż pracodawca), wskazane jest, by takie przepływy danych były poddane analizie w świetle przepisów RODO oraz odpowiednio uregulowane, w szczególności jeśli obejmowałyby transfery danych osobowych poza Europejski Obszar Gospodarczy.
Ponadto oprogramowanie typu bossware często oferowane jest przez zewnętrznych usługodawców lub dostawców. Jeśli w związku z wdrożeniem takich rozwiązań zewnętrzny dostawca lub usługodawca będzie miał dostęp do danych osobowych pracowników pracodawcy (np. w związku z przechowywaniem danych lub usługami wsparcia i rozwiązywania problemów), konieczne może okazać się zawarcie pomiędzy dostawcą a usługodawcą umowy powierzenia przetwarzania danych osobowych.
Powyżej bardzo ogólnie zarysowaliśmy wyzwania i uwarunkowania, które wiążą się z wdrażaniem rozwiązań typu bossware przez polskich pracodawców. Niemniej nawet tak pobieżne naszkicowanie zagadnień, które należy wziąć pod uwagę, pokazuje, że pracodawcy powinni rozważnie wprowadzać tego typu rozwiązania, z uwzględnieniem przepisów prawa pracy i prawa ochrony danych osobowych, które mogą mieć zastosowanie. W przeciwnym razie ryzyka prawne mogą przeważyć nad potencjalnymi korzyściami ze stosowania bossware.
Karolina Romanowska, Łukasz Rutkowski