Prywatność pracowników: Jakich danych pracodawcy nie mają prawa uzyskać?

W erze cyfrowej informacja jest najwyższą wartością. Niewidzialne, skomplikowane algorytmy śledzą każde nasze kliknięcie online, aby stworzyć nasz szczegółowy portret na potrzeby ukierunkowanych reklam. Media społecznościowe wiedzą i mogą powiedzieć o nas więcej, niż jesteśmy w stanie przyznać. Nawet nasi pracodawcy mogą śledzić wszystko, co robimy w biurze - a czasem także poza nim.

W 2022 roku amerykański księgowy stracił pracę po wzięciu udziału w World Naked Bike Ride. Jego hobby nie było związane z jego karierą; podczas jazdy był poza godzinami pracy i nie publikował żadnych zdjęć w Internecie. Mimo to jego szef zdecydował się go zwolnić po tym, jak zobaczył znajomą twarz na zdjęciu opublikowanym przez innego uczestnika.

Ten przypadek nie jest wyjątkowy. Pracownicy mogą gromadzić rozległe dane o swoich pracownikach, od podstawowych danych kontaktowych i przeszłego doświadczenia zawodowego po informacje o stanie zdrowia i poglądach politycznych. Gromadzenie niezbędnych danych jest konieczne do celów płacowych, zarządzania wydajnością lub innych uzasadnionych celów biznesowych. Gromadzenie innych danych osobowych i podejmowanie na ich podstawie decyzji menedżerskich jest nielegalne i nieetyczne, ale gdzie jest granica?

Niniejszy artykuł jest próbą nakreślenia tej linii i zagłębienia się w krytyczne pytanie, jakich danych pracodawcy nie mają prawa pozyskiwać. Ostatecznie naszym celem jest zapewnienie punktu wyjścia do zrozumienia granic, których pracodawcy muszą przestrzegać podczas gromadzenia danych pracowników.

Granice danych, które pracodawca może gromadzić, są podyktowane przepisami dotyczącymi prywatności i prawa pracy. Przepisy te mogą się jednak znacznie różnić na całym świecie. W tym artykule pokrótce omówimy tylko kilka kluczowych jurysdykcji. Aby poznać specyfikę prawną swojego regionu, zalecamy skonsultowanie się z prawnikiem.

Warto zauważyć, że większość przepisów o ochronie prywatności nie obejmuje konkretnie gromadzenia danych w miejscu pracy. Zamiast tego określają one ogólne wymagania dotyczące postępowania z danymi osobowymi, które należy później interpretować w odniesieniu do relacji pracodawca-pracownik. Na potrzeby tego artykułu opiszemy te przepisy, używając terminów "pracodawca" i "pracownik".

• Ustawa o przenośności i rozliczalności ubezpieczeń zdrowotnych (HIPAA) jest kluczowym prawem chroniącym informacje zdrowotne pracowników. Ogranicza ono dostęp pracodawców do dokumentacji medycznej pracowników i stanowi, że może być ona wykorzystywana i ujawniana wyłącznie w określonych celach i za zgodą pacjenta.

• Ustawa o niepełnosprawnych Amerykanach (ADA) chroni osoby niepełnosprawne przed dyskryminacją. Ustawa ta ogranicza również dostęp pracodawcy do informacji medycznych pracowników. W szczególności pracodawca może uzyskać informacje medyczne tylko wtedy, gdy są one związane z pracą lub gdy pracownik potrzebuje konkretnych udogodnień w związku ze swoją niepełnosprawnością.

• Ustawa o uczciwej sprawozdawczości kredytowej (FCRA) reguluje sposób, w jaki pracodawcy gromadzą, wykorzystują i ujawniają informacje kredytowe pracowników. Przed uzyskaniem informacji kredytowych pracodawcy zasadniczo muszą mieć dozwolony cel (np. sprawdzenie przeszłości) i pisemną zgodę pracownika.

• Ustawa o krajowych stosunkach pracy (NLRA) chroni w szczególności prawa pracowników do omawiania ze sobą warunków pracy, w tym za pośrednictwem mediów społecznościowych. Nie gwarantuje jednak pełnej prywatności w mediach społecznościowych, a pracodawcy mogą mieć pewną swobodę w dyscyplinowaniu pracowników za posty uznane za zakłócające lub zagrażające miejscu pracy.

• Ustawa o ochronie prywatności z 1974 r: Prawo to dotyczy przede wszystkim sposobu, w jaki agencje federalne przetwarzają dane osobowe, ale oferuje pewne spostrzeżenia. Ustanawia zasady takie jak "uczciwe praktyki informacyjne", wymagając od agencji przejrzystości w zakresie gromadzenia danych i ograniczenia ich wykorzystania do uzasadnionych celów.

To tylko kilka kluczowych przepisów dotyczących ochrony danych. Ponadto istnieje kilka przepisów stanowych, takich jak California Consumer Privacy Act (CCPA), które przyznają pracownikom pewne prawa dotyczące gromadzenia ich danych osobowych przez pracodawców.

Ogólne rozporządzenie o ochronie danych (RODO) jest głównym rozporządzeniem regulującym ochronę danych i prywatności w UE. Ustanawia ono wysoką poprzeczkę dla praw do prywatności, ograniczając zakres danych, które pracodawcy mogą gromadzić i dając pracownikom znaczną kontrolę nad ich danymi gromadzonymi przez pracodawców.

Chociaż RODO nie określa jasno, jakie dane osobowe mogą, a jakie nie mogą być gromadzone, zobowiązuje pracodawców do przestrzegania zasad przejrzystości i konieczności. Innymi słowy, muszą oni mieć ważną podstawę prawną do gromadzenia każdego rodzaju informacji, na przykład konieczność umowną, bezpieczeństwo w miejscu pracy lub ocenę wyników. Ponadto pracodawcy muszą być otwarci wobec pracowników w kwestii tego, jakie dane są gromadzone, w jaki sposób są wykorzystywane i jak długo są przechowywane.

RODO wymaga od pracodawców wdrożenia odpowiednich środków technicznych i organizacyjnych w celu ochrony danych pracowników przed nieuprawnionym dostępem, ujawnieniem, zmianą lub zniszczeniem.

W przypadku naruszenia danych, które stwarza wysokie ryzyko dla praw i wolności pracowników, pracodawcy muszą powiadomić odpowiedni organ ochrony danych i potencjalnie poszkodowane osoby.

Brazylijska ustawa Lei Geral de Proteção de Dados (LGPD) to najnowsza kompleksowa ustawa o ochronie prywatności wzorowana na RODO i wchodząca w życie w 2020 roku.

Podobnie jak RODO, LGPD nie wskazuje danych pracowników, których pracodawcy nie mogą gromadzić. Ustanawia jednak ramy dla sposobu, w jaki pracodawcy powinni gromadzić, wykorzystywać i przechowywać dane osobowe pracowników. Pracodawcy są zobowiązani do uzyskania zgody pracowników na gromadzenie ich danych. Mogą oni gromadzić tylko te dane, które są ściśle niezbędne do wykonania umowy o pracę, zapewnienia bezpieczeństwa w miejscu pracy, zbadania niewłaściwego postępowania lub innych uzasadnionych celów biznesowych. Muszą zapewnić, że zebrane dane są bezpiecznie przechowywane i chronione przed nieautoryzowanym dostępem, ujawnieniem, zmianą lub zniszczeniem. Wreszcie, w przypadku naruszenia danych, które stwarza wysokie ryzyko dla praw i wolności pracowników, pracodawcy muszą powiadomić brazylijski Krajowy Urząd Ochrony Danych (ANPD) i potencjalnie poszkodowane osoby.

Dane osobowe w Chinach są chronione przez ustawę o ochronie danych osobowych (PIPL). PIPL szeroko definiuje "dane osobowe" jako wszelkie dane, które mogą zidentyfikować osobę, zarówno samodzielnie, jak i w połączeniu z innymi informacjami. Informacje te obejmują dane pracowników, takie jak imię i nazwisko, dane kontaktowe, historię zatrudnienia, oceny wydajności i dokumentację zdrowotną (z dodatkowymi ograniczeniami).

Zgodnie z PIPL pracodawcy mogą gromadzić i przetwarzać dane pracowników wyłącznie po uzyskaniu ich zgody. Prawo dopuszcza również inne podstawy prawne, w tym konieczność umowną, zgodność z obowiązkami prawnymi (przypadki, w których gromadzenie danych jest wymagane przez chińskie prawo) oraz uzasadnione interesy.

Podobnie jak RODO i LGPD, PIPL zobowiązuje pracodawców do zachowania przejrzystości w zakresie praktyk gromadzenia danych, w szczególności poprzez zapewnienie jasnej i dostępnej polityki prywatności oraz wdrożenie rozsądnych środków bezpieczeństwa w celu ochrony danych pracowników przed nieuprawnionym dostępem, ujawnieniem, zmianą lub zniszczeniem.

Opisane regulacje pozornie dają pracodawcom swobodę gromadzenia niemal dowolnych danych osobowych, o ile tylko potrafią to wytłumaczyć celami biznesowymi. W praktyce nie jest to jednak prawdą.

Pracodawcy nie mają prawa gromadzić pewnych danych bez uzasadnionego powodu i zgody pracownika. Dane te zasadniczo należą do następujących kategorii:

Dane wrażliwe odnoszą się do danych osobowych, które mogą być wykorzystane do dyskryminacji danej osoby lub ujawnienia prywatnych aspektów jej życia. Dane te obejmują między innymi rasę i pochodzenie etniczne, religię, przekonania filozoficzne, orientację seksualną, tożsamość płciową i poglądy polityczne.

Gromadzenie i wykorzystywanie tych danych może prowadzić do dyskryminacji przy zatrudnianiu, awansowaniu lub podejmowaniu innych decyzji kierowniczych. Może również tworzyć niekomfortowe lub wrogie środowisko pracy dla pracowników.

Wiele jurysdykcji ogranicza dostęp pracodawców do informacji zdrowotnych pracowników. Istnieje jednak kilka wyjątków:

• Pracownik wyraża pisemną zgodę.

• Informacje te są niezbędne do zarządzania planem zdrowotnym lub ze względów bezpieczeństwa w miejscu pracy (np. oceny zdolności do pracy lub organizowania specjalnych udogodnień dla osób niepełnosprawnych).

• Ujawnienie jest wymagane przez prawo (np. roszczenia odszkodowawcze pracowników lub wnioski o urlop).

Nie ma uzasadnionego powodu, aby pracodawcy gromadzili obszerne dane finansowe na temat pracowników, wykraczające poza podstawowe informacje do celów płacowych i podatkowych. Dane, które nie są dozwolone, w tym przypadku obejmują szczegóły konta bankowego, wyniki kredytowe i posiadane inwestycje.

Chociaż pracodawcy mogą mieć uzasadniony interes w monitorowaniu zachowania pracowników, nie mogą rozszerzać monitorowania na osobiste konta w mediach społecznościowych. Przykładowo, pracodawcy nie mogą wymagać od pracowników, aby byli ich znajomymi w mediach społecznościowych lub mieli dostęp do prywatnych kont, ponieważ pracownicy mają prawo do prywatności w zakresie korzystania z mediów społecznościowych.

Prawo pracownika do prywatności chroni go przed monitorowaniem przez pracodawcę w czasie wolnym od pracy. Monitorowanie przez pracodawców zasadniczo obejmuje tylko godziny pracy i czynności związane z pracą. Gromadzenie danych na temat aktywności pracowników poza służbą jest ograniczone w większości jurysdykcji, chyba że istnieje uzasadnione uzasadnienie biznesowe i nie narusza to prawa do prywatności.

Według Harvard Business Review, 67,6% północnoamerykańskich firm zatrudniających ponad 500 pracowników śledzi aktywność pracowników za pomocą specjalnego oprogramowania. Inne badanie podsumowane przez WifiTalents wynika, że prawie 96% badanych organizacji korzysta z jakiejś formy technologii monitorowania pracowników.

Ze względu na swój charakter, oprogramowanie do monitorowania pracowników może gromadzić obszerne dane na ich temat. Jego najczęstsze funkcje obejmują monitorowanie poczty e-mail, monitorowanie aktywności w Internecie, nagrywanie ekranu, śledzenie użycia aplikacji, a nawet nadzór wideo i dźwięku. Monitorowanie pracowników ma szlachetne cele, takie jak zapewnienie właściwej komunikacji biznesowej, zapobieganie zagrożeniom bezpieczeństwa i poprawa produktywności. Może jednak czasami gromadzić niedozwolone dane osobowe, jeśli nie zostanie wdrożony z uwzględnieniem kwestii prawnych i etycznych.

Legalność praktyk monitorowania pracowników może się różnić w zależności od lokalizacji. Niektóre przepisy, takie jak RODO, narzucają bardziej rygorystyczne prawa do prywatności pracowników, ograniczając dozwolony zakres monitorowania. Dlatego też pracodawcy powinni zapoznać się i zrozumieć przepisy obowiązujące w ich regionie przed wdrożeniem jakiegokolwiek rodzaju monitorowania pracowników.

Z etycznego punktu widzenia, zasady przejrzystości, proporcjonalności i uzasadnienia powinny kierować korzystaniem z oprogramowania do monitorowania pracowników. Pracodawcy muszą ograniczyć gromadzenie danych do ściśle niezbędnych aspektów i zrównoważyć gromadzenie danych z prawami do prywatności pracowników. Najlepszym sposobem na to jest wybór adaptowalnych rozwiązań do monitorowania pracowników, które można łatwo dostosować, aby uniknąć gromadzenia nadmiernych danych.

W takim przypadku można wyłączyć niepotrzebne funkcje śledzenia, aby uniknąć gromadzenia nadmiernych danych i przestrzegać obowiązujących przepisów.

Warto również rozważyć programy monitorujące, które umożliwiają pracownikom ręczne uruchamianie i zatrzymywanie monitorowania. Ta opcja pozwala pracownikom chronić dane, których nie chcą rejestrować. Będzie to szczególnie pomocne dla pracowników zdalnych lub tych, którzy używają urządzeń osobistych do pracy.

Zrozumienie prawa do prywatności jest kluczowe nie tylko dla pracodawców, ale także dla pracowników. Umożliwia im przejęcie kontroli nad swoimi danymi osobowymi we wszystkich sferach ich życia, w tym w miejscu pracy. Konkretne prawa przyznane pracownikom i odpowiednie przepisy będą się różnić w zależności od ich lokalizacji. Na przykład RODO, LGPD i PIPL przyznają pracownikom kilka ważnych praw dotyczących ich danych:

Prawo dostępu: Pracownicy mogą zażądać dostępu do swoich danych osobowych przechowywanych przez pracodawcę.

Prawo do sprostowania danych: Pracownicy mogą zażądać korekty niedokładnych lub niekompletnych danych.

Prawo do usunięcia danych (znane również jako "prawo do bycia zapomnianym"): W pewnych okolicznościach pracownicy mogą zażądać usunięcia swoich danych osobowych.

Prawo do ograniczenia przetwarzania: Pracownicy mogą ograniczyć sposób wykorzystywania ich danych.

Prawo do przenoszenia danych: Pracownicy mogą zażądać otrzymania swoich danych osobowych w ustrukturyzowanym, powszechnie używanym formacie i przekazania ich innemu pracodawcy (jeśli jest to technicznie wykonalne).

Należy pamiętać, że są to tylko ogólne przykłady. Zachęcamy pracowników do skonsultowania się z działem prawnym lub specjalistami ds. prywatności w celu zrozumienia ich konkretnych praw dotyczących prywatności danych w miejscu pracy.

Era cyfrowa zatarła granice między pracą a życiem osobistym. Pracodawcy mogą gromadzić ogromne ilości danych pracowników i uzyskiwać do nich dostęp, co rodzi krytyczne pytania dotyczące prywatności i granic etycznych. Uzasadnione interesy biznesowe pracodawców, takie jak bezpieczeństwo, produktywność i zgodność z prawem, nie powinny przekraczać granicy między koniecznością a życiem prywatnym pracowników. Firmy powinny rozumieć granice prawne i równoważyć swoje interesy z poszanowaniem praw pracowników.

W przypadku firm zalecamy skonsultowanie się z radcą prawnym, aby upewnić się, że praktyki gromadzenia danych są zgodne z odpowiednimi przepisami. Rozważ wdrożenie jasnych i dostępnych polityk prywatności, które określają rodzaje gromadzonych danych, sposób ich wykorzystania oraz prawa pracowników dotyczące ich danych.

W przypadku pracowników zalecamy zapoznanie się z prawami do prywatności danych w miejscu pracy. Wiele jurysdykcji przyznaje pracownikom prawo dostępu do swoich danych osobowych, ich poprawiania, a nawet usuwania. Nie wahaj się zasięgnąć porady prawnej lub skonsultować się ze specjalistami ds. prywatności, jeśli masz obawy dotyczące gromadzenia Twoich danych przez pracodawcę.