Rutkowski - prawne aspekty nowych technologii

12 września 2025 r. był pierwszym dniem stosowania Data Act (czyli rozporządzenia (UE) 2023/2854 z dnia 13 grudnia 2023 r. w sprawie zharmonizowanych przepisów dotyczących sprawiedliwego dostępu do danych i ich wykorzystywania oraz w sprawie zmiany rozporządzenia (UE) 2017/2394 i dyrektywy (UE) 2020/1828). Na co powinni zwrócić uwagę przedsiębiorcy?

Charakter i cel Data Act

Data Act jest rozporządzeniem unijnym i jako takie jest bezpośrednio stosowany w Polsce i wszystkich innych państwach członkowskich UE. Na poziomie krajowym Data Act będzie wprawdzie uzupełniony przez przepisy lokalne – będą one jednak zasadniczo regulować kwestie formalne (np. dotyczące postępowań w sprawie naruszenia Data Act), a nie materialne. Innymi słowy w całej UE Data Act będzie obowiązywał w tej samej treści.

Rozpowszechnienie pracy zdalnej w połączeniu z rozwojem technologii monitorowania spowodowały, że pracodawcy na całym świecie wdrażają różne, czasem technologicznie zaawansowane metody, aby sprawdzić wydajność pracowników i stopień ich zaangażowania w pracę. Coraz większą popularność w tym zakresie zdobywają rozwiązania informatyczne i programy, które potocznie nazywa się bossware (od połączenia słów „boss” oraz „software”).

Bossware może w praktyce obejmować różnorakie rozwiązania i technologie takie jak np.:

• keyloggers monitorujące korzystanie przez pracownika z klawiatury służbowego komputera,
• pobieranie i analiza zrzutów z ekranu służbowego urządzenia pracownika,
• śledzenie ruchów myszki,
• stała lub okresowa obserwacja pracownika z wykorzystaniem kamery (np. ruch gałek ocznych) lub mikrofonu urządzenia służbowego,
• śledzenie aktywności pracownika w internecie,
• monitorowanie sposobu wykorzystania poczty służbowej, kalendarza i służbowych komunikatorów,
• analiza działania uruchamianych przez pracownika aplikacji i programów.

Cechą szczególną rozwiązań typu bossware jest częste wykorzystywanie analizy automatycznej, pozwalającej bez udziału przełożonych „flagować” pracowników, których produktywność, zaangażowanie czy sposób pracy odbiega od oczekiwanej przez pracodawcę normy.

Polscy pracodawcy również sięgają po bossware. Poniżej opisujemy, co w związku z tym powinni wziąć pod uwagę w świetle polskiego prawa pracy i ochrony danych osobowych.

Zgodnie z RODO przekazywanie danych osobowych do tzw. krajów trzecich, a więc państw spoza Europejskiego Obszaru Gospodarczego, dopuszczalne jest jedynie w przypadku, gdy spełnione są określone w RODO warunki, tj. zasadniczo gdy:

Podmioty, które transferują dane osobowe poza Europejski Obszar Gospodarczy na bazie nieobowiązujących już standardowych klauzul umownych (a transfer ten rozpoczął się przed 27 września 2021 r.), powinny do 27 grudnia 2022 r. zawrzeć umowy bazujące na nowych klauzulach.

• transfer następuje do państwa, w stosunku do którego Komisja Europejska stwierdziła, że zapewnia ono odpowiedni stopień ochrony (czyli wydała tzw. decyzję o adekwatności; dotychczas wydane decyzje dostępne są na stronie Komisji Europejskiej),
• jeśli nie ma decyzji o adekwatności – gdy zapewnione zostaną tzw. odpowiednie zabezpieczenia, w tym w postaci zawarcia umowy opartej o standardowe klauzule umowne pomiędzy podmiotami zaangażowanymi w transfer,
• jeśli nie ma decyzji o adekwatności ani wdrożenia odpowiednich zabezpieczeń – gdy zachodzi jedna ze szczególnych okoliczności określonych w RODO.