خصوصية الموظفين: ما هي البيانات التي لا يحق لأصحاب العمل الحصول عليها

في عصرنا الرقمي، المعلومات هي القيمة العليا. خوارزميات متقنة غير مرئية تتبع كل نقرة لنا على الإنترنت لبناء صورتنا التفصيلية للإعلانات المستهدفة. وتعرف وسائل التواصل الاجتماعي ويمكنها أن تخبر عنا أكثر مما نشعر بالارتياح للاعتراف به. حتى أصحاب العمل لدينا قد يتتبعون كل ما نقوم به داخل جدران المكتب - وأحياناً خارجها أيضاً.

في عام 2022، فقد محاسب أمريكي وظيفته بعد مشاركته في سباق ركوب الدراجات الهوائية العاري العالمي. لم تكن هوايته مرتبطة بوظيفته؛ فقد كان خارج أوقات العمل أثناء ركوبه الدراجة ولم ينشر أي صور له على الإنترنت. ومع ذلك، قرر مديره مع ذلك فصله من العمل بعد أن رأى وجهًا مألوفًا على الصورة التي نشرها مشارك آخر.

هذه الحالة ليست فريدة من نوعها. قد يجمع الموظفون بيانات واسعة عن موظفيهم، بدءًا من تفاصيل الاتصال الأساسية والخبرة العملية السابقة إلى المعلومات الصحية والآراء السياسية. جمع البيانات الأساسية ضروري لكشوف الرواتب أو إدارة الأداء أو لأغراض العمل المشروعة الأخرى. أما جمع معلومات شخصية أخرى واتخاذ قرارات إدارية بناءً عليها فهو أمر غير قانوني وغير أخلاقي، ولكن أين الخط الفاصل؟

يحاول هذا المقال رسم هذا الخط الفاصل والخوض في المسألة الحرجة المتعلقة بالبيانات التي لا يحق لأصحاب العمل الحصول عليها. في النهاية، هدفنا هو توفير نقطة انطلاق لفهم الحدود التي يجب على أصحاب العمل احترامها عند جمع بيانات الموظفين.

إن حدود البيانات التي يمكن لصاحب العمل جمعها تمليها تشريعات الخصوصية والعمل. ومع ذلك، قد تختلف هذه القوانين بشكل كبير في جميع أنحاء العالم. في هذه المقالة، سوف نستكشف بإيجاز بعض الولايات القضائية الرئيسية فقط. للتعرف على الخصائص القانونية الخاصة بمنطقتك، نوصي باستشارة محاميك.

تجدر الإشارة إلى أن معظم قوانين الخصوصية لا تغطي على وجه التحديد جمع البيانات في مكان العمل. وبدلاً من ذلك، فإنها تضع متطلبات عامة للتعامل مع البيانات الشخصية، والتي ينبغي تفسيرها لاحقًا للعلاقات بين صاحب العمل والموظف. لغرض هذه المقالة، سنصف هذه القوانين باستخدام مصطلحي "صاحب العمل" و"الموظف".

• قانون قابلية نقل التأمين الصحي والمساءلة (HIPAA) هو القانون الرئيسي الذي يحمي المعلومات الصحية للموظفين. وهو يقيد وصول أصحاب العمل إلى السجلات الطبية للموظفين وينص على أنه لا يمكن استخدامها والكشف عنها إلا لأغراض محددة وبتصريح من المريض.

• قانون الأمريكيين ذوي الإعاقة (ADA) يحمي الأفراد ذوي الإعاقة من التمييز. يقيد هذا القانون أيضًا وصول صاحب العمل إلى المعلومات الطبية للموظف. على وجه الخصوص، لا يمكن لصاحب العمل الحصول على المعلومات الطبية إلا إذا كانت متعلقة بالوظيفة، أو إذا كان الموظف يحتاج إلى ترتيبات تيسيرية محددة لإعاقته.

• قانون الإبلاغ الائتماني العادل (FCRA) ينظم كيفية قيام أصحاب العمل بجمع معلومات ائتمان الموظفين واستخدامها والكشف عنها. يحتاج أرباب العمل عمومًا إلى غرض مسموح به (مثل التحقق من الخلفية) وموافقة خطية من الموظف قبل الحصول على المعلومات الائتمانية.

• قانون علاقات العمل الوطنية (NLRA) يحمي، على وجه الخصوص، حقوق الموظفين في مناقشة ظروف العمل مع بعضهم البعض، بما في ذلك عبر وسائل التواصل الاجتماعي. ومع ذلك، فإنه لا يضمن الخصوصية التامة على وسائل التواصل الاجتماعي، وقد يكون لدى أصحاب العمل بعض الحرية في تأديب الموظفين على المنشورات التي تعتبر مزعجة أو مهددة لمكان العمل.

• قانون الخصوصية لعام 1974: ينطبق هذا القانون في المقام الأول على كيفية تعامل الوكالات الفيدرالية مع المعلومات الشخصية، ولكنه يقدم بعض الأفكار. فهو يرسي مبادئ مثل "ممارسات المعلومات العادلة"، ويتطلب من الوكالات أن تكون شفافة بشأن جمع البيانات وقصر استخدامها على الأغراض المشروعة.

هذه ليست سوى عدد قليل من اللوائح الرئيسية المتعلقة بحماية البيانات. بالإضافة إلى ذلك، هناك عدد قليل من قوانين الولاية، مثل قانون خصوصية المستهلك في كاليفورنيا (CCPA) الذي يمنح الموظفين حقوقًا معينة فيما يتعلق بجمع بياناتهم الشخصية من قبل أصحاب العمل.

اللائحة العامة لحماية البيانات، أو اللائحة العامة لحماية البيانات، هي اللائحة الرئيسية التي تحكم حماية البيانات والخصوصية في الاتحاد الأوروبي. وهي تضع معيارًا عاليًا لحقوق الخصوصية، وتحد من نطاق البيانات التي يمكن لأصحاب العمل جمعها وتمنح الموظفين تحكمًا كبيرًا في بياناتهم التي يجمعها أصحاب العمل.

على الرغم من أن النظام الأوروبي العام لحماية البيانات لا ينص بوضوح على البيانات الشخصية التي يمكن جمعها أو التي لا يمكن جمعها، إلا أنه يُلزم أصحاب العمل بالالتزام بمبادئ الشفافية والضرورة. وبعبارة أخرى، يجب أن يكون لديهم أساس قانوني صالح لجمع كل نوع من المعلومات، على سبيل المثال، الضرورة التعاقدية أو الأمن في مكان العمل أو تقييمات الأداء. إلى جانب ذلك، يجب على أصحاب العمل أن يكونوا منفتحين مع الموظفين بشأن البيانات التي يتم جمعها وكيفية استخدامها ومدة تخزينها.

يتطلب القانون العام لحماية البيانات (GDPR) من أصحاب العمل تنفيذ التدابير التقنية والتنظيمية المناسبة لحماية بيانات الموظفين من الوصول غير المصرح به أو الإفصاح عنها أو تغييرها أو إتلافها.

في حالة حدوث خرق للبيانات يشكل خطرًا كبيرًا على حقوق الموظفين وحرياتهم، يجب على أصحاب العمل إخطار هيئة حماية البيانات ذات الصلة والأفراد المحتمل تأثرهم.

القانون البرازيلي العام لحماية البيانات (Lei Geral de Proteção de Dados) هو قانون خصوصية شامل حديث تم تصميمه على غرار اللائحة العامة لحماية البيانات (GDPR) وسيدخل حيز التنفيذ في عام 2020.

على غرار اللائحة العامة لحماية البيانات، لا تشير اللائحة العامة لحماية البيانات إلى بيانات الموظفين التي لا يمكن لأصحاب العمل جمعها. ومع ذلك، فإنه يضع إطارًا لكيفية قيام أصحاب العمل بجمع واستخدام وتخزين المعلومات الشخصية للموظفين. يلتزم أصحاب العمل بالحصول على موافقة الموظفين لجمع بياناتهم. ويمكنهم جمع البيانات الضرورية فقط للوفاء بعقد العمل، أو ضمان سلامة مكان العمل، أو التحقيق في سوء السلوك، أو غيرها من أغراض العمل المشروعة. يجب عليهم التأكد من تخزين البيانات التي تم جمعها بشكل آمن وحمايتها من الوصول غير المصرح به أو الكشف عنها أو تغييرها أو إتلافها. أخيرًا، في حالة حدوث خرق للبيانات يشكل خطرًا كبيرًا على حقوق الموظفين وحرياتهم، يجب على أصحاب العمل إخطار الهيئة الوطنية البرازيلية لحماية البيانات (ANPD) والأفراد المحتمل تضررهم.

البيانات الشخصية في الصين محمية بموجب قانون حماية المعلومات الشخصية (PIPL). يعرّف قانون حماية المعلومات الشخصية "المعلومات الشخصية" بشكل عام على أنها أي بيانات يمكن أن تحدد هوية الشخص، سواء بمفردها أو عند دمجها مع معلومات أخرى. تتضمن هذه المعلومات بيانات الموظف مثل الاسم، ومعلومات الاتصال، والتاريخ الوظيفي، وتقييمات الأداء، والسجلات الصحية (مع قيود إضافية).

وفقًا لقانون حماية البيانات الشخصية، لا يمكن لأصحاب العمل جمع بيانات الموظفين ومعالجتها إلا بعد الحصول على موافقتهم. ويسمح القانون أيضًا بأسباب قانونية أخرى، بما في ذلك الضرورة التعاقدية، والامتثال للالتزامات القانونية (الحالات التي يتطلب فيها القانون الصيني جمع البيانات)، والمصالح المشروعة.

على غرار النظام الأوروبي العام لحماية البيانات واللائحة العامة لحماية البيانات، يُلزم قانون حماية البيانات الشخصية لأصحاب العمل بالشفافية بشأن ممارسات جمع البيانات، على وجه الخصوص، من خلال توفير سياسة خصوصية واضحة ويمكن الوصول إليها وتنفيذ تدابير أمنية معقولة لحماية بيانات الموظفين من الوصول غير المصرح به أو الكشف عنها أو تغييرها أو إتلافها.

يبدو أن اللوائح الموصوفة تمنح أصحاب العمل حرية جمع أي بيانات شخصية تقريبًا طالما يمكنهم تفسير ذلك بأغراض العمل. ومع ذلك، من الناحية العملية، هذا غير صحيح.

لا يحق لأصحاب العمل جمع بيانات معينة دون مبرر مشروع وموافقة الموظف. وتندرج هذه البيانات عموماً ضمن الفئات التالية:

تشير البيانات الحساسة إلى المعلومات الشخصية التي يمكن استخدامها للتمييز ضد الفرد أو الكشف عن جوانب خاصة من حياته. تشمل هذه البيانات، على سبيل المثال لا الحصر، العرق والإثنية والدين والمعتقدات الفلسفية والميول الجنسية والهوية الجنسية والآراء السياسية.

يمكن أن يؤدي جمع هذه البيانات واستخدامها إلى التمييز في التوظيف أو الترقية أو القرارات الإدارية الأخرى. كما يمكن أن يخلق بيئة عمل غير مريحة أو عدائية للموظفين.

تقيد العديد من الولايات القضائية وصول أصحاب العمل إلى المعلومات الصحية للموظفين. ومع ذلك، هناك بعض الاستثناءات القليلة:

• يقدم الموظف موافقة خطية.

• المعلومات ضرورية لإدارة خطة صحية أو لأسباب تتعلق بالسلامة في مكان العمل (على سبيل المثال، تقييمات اللياقة للعمل أو ترتيب ترتيبات تيسيرية خاصة للإعاقة).

• الإفصاح مطلوب بموجب القانون (على سبيل المثال، مطالبات تعويض العمال أو طلبات الإجازة).

لا يوجد سبب مشروع لقيام أصحاب العمل بجمع بيانات مالية مستفيضة عن الموظفين تتجاوز المعلومات الأساسية لأغراض الرواتب والضرائب. وتشمل البيانات المحظورة، في هذه الحالة، تفاصيل الحساب المصرفي والدرجات الائتمانية والحيازات الاستثمارية.

في حين أن أصحاب العمل قد يكون لديهم مصلحة مشروعة في مراقبة سلوك الموظفين، إلا أنه لا يمكنهم توسيع نطاق مراقبتهم لتشمل حسابات وسائل التواصل الاجتماعي الشخصية. على سبيل المثال، لا يمكن لأرباب العمل أن يطلبوا من الموظفين مصادقتهم على وسائل التواصل الاجتماعي أو الوصول إلى الحسابات الخاصة لأن الموظفين لديهم الحق في الخصوصية في استخدامهم لوسائل التواصل الاجتماعي.

حق الموظف في الخصوصية يحميه من مراقبة صاحب العمل أثناء إجازته. تمتد مراقبة أصحاب العمل عمومًا إلى ساعات العمل والأنشطة المتعلقة بالعمل فقط. يتم تقييد جمع البيانات عن أنشطة الموظفين خارج أوقات العمل في معظم الولايات القضائية ما لم يكن هناك مبرر مشروع للعمل ولا ينتهك حقوق الخصوصية.

وفقاً ل مجلة هارفارد بزنس ريفيو, 67.6% من الشركات في أمريكا الشمالية التي يزيد عدد موظفيها عن 500 موظف تتعقب نشاط عمل الموظفين باستخدام برامج خاصة. لخص بحث آخر أجراه واي فاي تالنتس أن ما يقرب من 96% من المؤسسات التي شملها الاستطلاع تستخدم شكلاً من أشكال تكنولوجيا مراقبة الموظفين.

بحكم طبيعته، يمكن لبرامج مراقبة الموظفين جمع بيانات شاملة عن الموظفين. وتشمل ميزاته الأكثر شيوعًا مراقبة البريد الإلكتروني، ومراقبة نشاط الإنترنت، وتسجيل الشاشة، وتتبع استخدام التطبيقات، وحتى المراقبة الصوتية والمرئية. وتسعى مراقبة الموظفين إلى تحقيق أهداف نبيلة، مثل ضمان التواصل السليم في العمل، ومنع التهديدات الأمنية، وتحسين الإنتاجية. ومع ذلك، فإنها قد تجمع أحيانًا بيانات شخصية خارجة عن الحدود إذا لم يتم تنفيذها مع مراعاة الاعتبارات القانونية والأخلاقية.

قد تختلف قانونية ممارسات مراقبة الموظفين حسب الموقع. تفرض بعض اللوائح، مثل اللائحة العامة لحماية البيانات، حقوقًا أكثر صرامة لخصوصية الموظفين، مما يحد من نطاق المراقبة المسموح به. لهذا السبب يجب على أصحاب العمل دراسة وفهم القوانين المعمول بها في منطقتهم قبل تنفيذ أي نوع من مراقبة الموظفين.

من وجهة نظر أخلاقية، يجب أن توجه مبادئ الشفافية والتناسب والتبرير استخدام برامج مراقبة الموظفين. يجب على أصحاب العمل أن يقصروا جمع البيانات على الجوانب الضرورية فقط وأن يوازنوا بين جمع البيانات وحقوق خصوصية الموظفين. وأفضل طريقة لفعل ذلك هي اختيار حلول مراقبة الموظفين القابلة للتكيف والتي يمكن تكييفها بسهولة لتجنب جمع البيانات المفرطة.

في هذه الحالة، يمكنك تعطيل ميزات التتبع غير الضرورية لتجنب جمع البيانات الزائدة والالتزام باللوائح المعمول بها.

ضع في اعتبارك أيضاً برامج المراقبة التي تسمح للموظفين ببدء وإيقاف المراقبة يدوياً. يتيح هذا الخيار للموظفين حماية البيانات التي لا يريدون تسجيلها. سيكون مفيدًا بشكل خاص للموظفين عن بُعد أو أولئك الذين يستخدمون أجهزة شخصية للعمل.

إن فهم حقوق الخصوصية أمر حيوي ليس فقط لأصحاب العمل ولكن أيضًا للموظفين. فهو يمكّنهم من التحكم في بياناتهم الشخصية في جميع مجالات حياتهم، بما في ذلك مكان العمل. وتختلف الحقوق المحددة الممنوحة للموظفين والقوانين ذات الصلة باختلاف موقعهم. على سبيل المثال، يمنح النظام الأوروبي العام لحماية البيانات، وقانون حماية البيانات الشخصية، وقانون حماية البيانات الشخصية للموظفين العديد من الحقوق المهمة فيما يتعلق ببياناتهم:

الحق في الوصول يمكن للموظفين طلب الوصول إلى بياناتهم الشخصية التي يحتفظ بها صاحب العمل.

الحق في التصحيح: يمكن للموظفين طلب تصحيح البيانات غير الدقيقة أو غير المكتملة.

الحق في المحو (المعروف أيضًا باسم "الحق في النسيان"): في ظروف معينة، يمكن للموظفين طلب حذف بياناتهم الشخصية.

الحق في تقييد المعالجة: يمكن للموظفين تقييد كيفية استخدام بياناتهم.

الحق في إمكانية نقل البيانات: يمكن للموظفين طلب الحصول على بياناتهم الشخصية بصيغة منظمة شائعة الاستخدام ونقلها إلى صاحب عمل آخر (إذا كان ذلك ممكنًا من الناحية الفنية).

من المهم ملاحظة أن هذه مجرد أمثلة عامة. نحن نشجع الموظفين على التشاور مع المصادر القانونية أو المتخصصين في مجال الخصوصية لفهم حقوقهم الخاصة فيما يتعلق بخصوصية البيانات في مكان العمل.

لقد طمس العصر الرقمي الخطوط الفاصلة بين العمل والحياة الشخصية. يمكن لأصحاب العمل جمع بيانات الموظفين الهائلة والوصول إليها، مما يثير تساؤلات حرجة حول الخصوصية والحدود الأخلاقية. يجب ألا تتخطى مصالح أصحاب العمل المشروعة، مثل الأمن والإنتاجية والامتثال القانوني، الخط الفاصل بين الضرورة والحياة الخاصة للموظفين. يجب أن تفهم الشركات الحدود القانونية وتوازن بين مصالحها واحترام حقوق الموظفين.

بالنسبة للشركات، نوصي بالتشاور مع المستشار القانوني لضمان امتثال ممارسات جمع البيانات للقوانين ذات الصلة. ضع في اعتبارك تنفيذ سياسات خصوصية واضحة ويمكن الوصول إليها تحدد أنواع البيانات التي تجمعها وكيفية استخدامها وحقوق الموظفين فيما يتعلق ببياناتهم.

بالنسبة للموظفين، ننصح بالتعرف على حقوق خصوصية البيانات في مكان العمل. تمنح العديد من الولايات القضائية الموظفين حقوقًا في الوصول إلى بياناتهم الشخصية أو تصحيحها أو حتى حذفها. لا تتردد في طلب المشورة القانونية أو التشاور مع متخصصي الخصوصية إذا كانت لديك مخاوف بشأن بياناتك التي يجمعها صاحب العمل.