Nedávné změny v zákonech a nařízeních o monitorování zaměstnanců

V celosvětovém měřítku došlo k rychlému vývoji směrem k posílení zákonů o ochraně soukromí uživatelů. Velkou měrou se na tom podílejí technologie, které předbíhají právní rámce. Jedním z takových příkladů je nástup a rozsah generativní umělé inteligence (neboli Gen AI).

Společnost McKinsey v roce 2023 uvedla, že ekonomický potenciál aplikací Gen AI je mezi 2,6 bilionu dolarů a 4,4 bilionu dolarů. každoročně. Současně je však pochopení, kontrola a zajištění bezpečnosti generací AI významnou výzvou pro funkce řízení rizik a dodržování předpisů. Proč? Protože chybí funkční transparentnost a data používaná k tréninku, potenciál pro porušování duševního vlastnictví a řada obav z porušení soukromí uživatelů - a to vše v nebývalém měřítku a rychlosti.

V oblasti monitorování zaměstnanců není situace tak jednoznačná, ale snadný přístup k údajům o zaměstnancích a jejich využívání - díky výkonné analytice, využití umělé inteligence a sjednocování dat - zpochybňuje životaschopnost pravidel a předpisů navržených pro éru, kdy se údaje využívaly méně.

Podle průzkum podle společnosti Top10VPN poptávka po řešeních pro monitorování zaměstnanců po pandemii prudce vzrostla, a to až o 75 % v březnu 2020, 75 % v lednu 2022 a 73 % v prvním čtvrtletí 2022. Mnoho velkých i malých firem po celém světě spoléhá na tato řešení, aby zajistily, že práce probíhá podle plánu, lidé jsou zodpovědní a nedochází ke krádežím času, které by mohly poškodit soukromí zaměstnanců i hospodářské výsledky podniku. Existují však dvě strany mince.

Nástroje pro sledování zaměstnanců jsou stále výkonnější. Dokážou sledovat vše od běžných stisků kláves až po pokročilejší prohlížení webu a dokonce i výrazy obličeje. Když se nad tím zamyslíte, výhody jsou různorodé. Podniky mohou posílit produktivitu, identifikovat potenciální bezpečnostní mezery a vnitřní hrozby, odhalit oblasti pro zlepšení a navrhnout zásady ve prospěch zaměstnanců, a dokonce jít do detailů a pochopit, co dobře funguje pro pohodu zaměstnanců.

Zároveň však existuje značný potenciál pro zneužití. Podniky mohou být příliš dotěrné - do té míry, že to vede k toxickému pracovnímu prostředí a stává se to živnou půdou pro nedůvěru. Granulární přístup k údajům o činnosti může ve skutečnosti připravit půdu pro diskriminaci a nespravedlivé zacházení. Pracovní metody zaměstnanců mohou být mylně chápány jako jejich flákání. A proto se často objevují zprávy, že zaměstnanci nejsou spokojeni s tím, že jsou pod drobnohledem. O stránkách 39 % zaměstnanců uvádí, že monitorování má negativní dopad na jejich vztah se zaměstnavatelem. 43 % potvrzuje, že taková praxe ovlivňuje morálku ve firmě.

Často jsme diskutovali o stávající platné předpisy, jako je obecné nařízení o ochraně osobních údajů (GDPR), zákon o ochraně soukromí v elektronických komunikacích (ECPA) atd. Tyto předpisy, zejména GDPR, stanovily vysoké standardy ochrany údajů a soukromí uživatelů. To zahrnuje i přesně definované zaměření na údaje zaměstnanců.

Rozsah a škála možného sběru dat však překračují možnosti předpisů, které se předpokládaly ještě před několika lety. Jednoduše řečeno, propast mezi tím, co je technologicky možné, a tím, co je právně přípustné, se zvětšuje. Výsledek? Regulační vakuum, které ponechává otevřený prostor pro neúmyslné, a dokonce i úmyslné zneužití technologií ke sledování. Proto jsou reformy regulace a neustálý dialog o udržení stávajících rámců v módě oprávněnou výzvou.

Aktualizace a změny v zákonech o monitorování zaměstnanců

Vzhledem k výše uvedeným obavám si jurisdikce po celém světě uvědomují naléhavost zavedení zákonů, které slibují regulaci systémů poháněných umělou inteligencí a ochranu práv a údajů zaměstnanců.

Pro snazší pochopení a porozumění dopadu uvádíme čtyři hlavní aktualizace a zeměpisné oblasti, které budou ovlivněny.

Úřad komisaře pro informace (ICO) nedávno posílil regulaci činností podniků, které narušují ochranu osobních údajů. Případ společnosti Serco Leisure Operating Limited z února 2024, kdy se jí dostalo Oznámení o výkonu rozhodnutí z ICO slouží jako dobrý příklad. Regulátor nařídil společnosti, aby přestala zpracovávat biometrické údaje. Tento pokyn se opíral o články 5, 6 a 9, které hájí spravedlivé a zákonné zpracování, zákonný základ pro zpracování a další.

To vše na pozadí aktualizovaných pokynů ICO pro zákonné sledování ve Spojeném království naznačuje, že regulační orgán drží krok s technologickým pokrokem v oblasti sledování. Jejich záměrem je zajistit lepší regulační jistotu, chránit práva zaměstnanců na ochranu údajů a vybudovat obchodní ekosystém, který podporuje důvěru mezi zaměstnanci a zákazníky.

Zde jsou uvedeny hlavní aktualizace pokynů ICO pro pracovní postupy a ochranu údajů, které se týkají používání softwaru pro monitorování zaměstnanců:

• Kontrolujte pracovníky v souladu se zákonem: ICO ukládá podnikům povinnost zvážit šest zákonných základů a vybrat si jeden z nich pro zákonné monitorování pracovníků. Mezi tyto základy patří souhlas, smlouva, právní povinnost, životně důležité zájmy, veřejný úkol a oprávněné zájmy. Každý základ zahrnuje postupy, které vedou k zákonnému monitorování a udržují vše pod kontrolou.

• Informujte o automatizovaném rozhodování: ICO definuje akční plán pro podniky používající software pro monitorování zaměstnanců, který pomáhá při zákonném automatizovaném rozhodování. V takovém případě musí podniky informovat zaměstnance o zpracovávaných informacích a základní logice takového zpracování. Zaměstnanci musí mít rovněž možnost požadovat lidský zásah.

• Kontrolní seznamy: Pro snadnější mapování regulačních požadavků na celopodnikové postupy nabízí ICO následující možnosti. kontrolní seznamy které mohou podniky využít z hlediska ochrany údajů.

Francouzská Národní komise pro informatiku a svobodu (CNIL) má podobný přístup jako ICO, když zajišťuje, aby podniky nesly odpovědnost za zneužití údajů o zaměstnancích - přesně to, co jejich nedávný Pokuta 32 milionů eur na Amazon France Logistique nám říká.

Francouzský úřad pro ochranu osobních údajů rozhodl, že společnost Amazon zavedla nezákonný monitorovací systém, v němž měřila detailní přerušení práce za účelem mikromanagementu zaměstnanců. Zastřešující reakcí úřadu vůči společnosti Amazon byla sankce za několik porušení GDPR, včetně těch, které se týkaly monitorování zaměstnanců pomocí skenerů, nezajištění zákonného zpracování podle článku 6 GDPR a dalších.

Přesto vám přinášíme nedávné aktualizace reakce CNIL na monitorování zaměstnanců, které musí dotčené podniky sledovat:

• Agregace a doba uchovávání dat: Jednou z klíčových informací z nedávného rozhodnutí CNIL je, že se přísně zaměřuje na to, jak dlouho společnosti uchovávají údaje zaměstnanců a zda je tato doba odůvodněná. Vypůjčíme-li si příklad společnosti Amazon, CNIL zjistil, že údaje ze skeneru skladu shromážděné v průběhu měsíce byly použity pro statistickou analýzu. Regulační orgán místo toho rozhodl, že pro vyhodnocení výkonnosti a určení potřeb školení stačí jeden týden.

• Transparentnost informací: Ačkoli se nejedná o nový aspekt, rozhodnutí CNIL vzbudilo pozornost ohledně toho, jak se podniky vyhýbají informování zaměstnanců (včetně dočasných pracovníků) o praxi a rozsahu monitorování - což se regulačním orgánům nebude líbit.

Zákon o ochraně digitálních osobních údajů z roku 2023 je v procesu legislativního projednávání a veřejné konzultace, ale očekává se, že přinese řadu významných změn v oblasti monitorování zaměstnanců v Indii.

Zákon přináší vyvážený přístup k souhlasu s používáním údajů zaměstnanců. Podle něj musí zaměstnavatelé získat souhlas zaměstnanců se zpracováním údajů. Tím se omezí nesouhlasné využívání údajů v rukou podnikových personalistů. Zákon si však vyhrazuje právo zaměstnavatelů překročit souhlas v případě scénářů, které představují "určité oprávněné použití". Mezi ně patří situace související se ztrátou nebo odpovědností.

Evropská unie také aktualizuje jinak dobře zavedené zásady GDPR, které kontrolují sledování zaměstnanců v celé EU a jsou vlastně základním souborem pravidel pro regulaci sledování na celém světě. Některé klíčové změny se týkají:

• Podpora lepšího fungování přeshraničních případů, lepší přípustnost stížností a zefektivnění řešení sporů.
• Poskytnutí lepšího zázemí vyšetřovaným stranám, aby byly jejich hlasy vyslyšeny a aby byla nabídnuta rychlá řešení.

Jedná se spíše o kvalitativní aktualizace, které mají zpřesnit regulační prostředí, ale jejich dopad by mohl být významný, pokud jde o jednotnost při prosazování a provádění zásad GDPR v celé EU.

• Regulační orgány po celém světě reagují na využívání lepších technologií ke sledování zaměstnanců a zajišťují, aby se tak dělo zákonným způsobem.
• Práva zaměstnanců jsou v centru pozornosti těchto nových aktualizací.
• Jakékoli zneužití monitorovacích technologií a údajů o zaměstnancích by vyžadovalo větší kontrolu a odpovědnost.

Přečtěte si také: Jak legálně a efektivně kontrolovat zaměstnance