Ostatnie zmiany w przepisach i regulacjach dotyczących monitorowania pracowników
Nastąpił szybki, globalny rozwój w kierunku wzmocnienia przepisów dotyczących prywatności użytkowników. W dużej mierze można to przypisać technologiom wyprzedzającym ramy prawne. Jednym z takich przykładów jest pojawienie się i skala generatywnej sztucznej inteligencji (lub Gen AI).
W 2023 r. firma McKinsey podała, że potencjał ekonomiczny aplikacji Gen AI wynosi między 2,6 bln USD i 4,4 bln USD rocznie. Jednocześnie jednak zrozumienie, kontrolowanie i zagwarantowanie bezpieczeństwa Gen AI stanowi poważne wyzwanie dla funkcji ryzyka i zgodności. Dlaczego? Ze względu na brak przejrzystości funkcjonalnej i danych wykorzystywanych do szkolenia, potencjalne naruszenia własności intelektualnej oraz szereg obaw związanych z naruszeniem prywatności użytkowników - a wszystko to na niespotykaną dotąd skalę i z niespotykaną dotąd szybkością.
Sytuacja nie jest tak jednoznaczna w sferze monitorowania pracowników, ale łatwy dostęp do danych pracowników i ich wykorzystanie - dzięki potężnej analityce, wykorzystaniu sztucznej inteligencji i ujednoliceniu danych - stawia pod znakiem zapytania wykonalność zasad i przepisów zaprojektowanych dla ery mniejszej ilości danych.
Po pierwsze, czy ruch w kierunku bardziej rygorystycznych przepisów jest potrzebny?
Według badanie Według Top10VPN, popyt na rozwiązania do monitorowania pracowników wzrósł po pandemii aż o 75% w marcu 2020 r., 75% w styczniu 2022 r. i 73% w pierwszym kwartale 2022 r. Wiele dużych i małych firm na całym świecie polega na tych rozwiązaniach, aby zapewnić, że praca przebiega zgodnie z planem, ludzie są odpowiedzialni i nie dochodzi do kradzieży czasu, która mogłaby zaszkodzić zarówno prywatności pracowników, jak i wynikom finansowym firmy. Istnieją jednak dwie strony medalu.
Potencjalne nadużycia
Narzędzia do monitorowania pracowników stają się coraz potężniejsze. Są w stanie śledzić wszystko, od konwencjonalnych naciśnięć klawiszy po bardziej zaawansowane przeglądanie stron internetowych, a nawet mimikę twarzy. Korzyści, jeśli się nad tym zastanowić, są wielorakie. Firmy mogą zwiększyć produktywność, zidentyfikować potencjalne luki w zabezpieczeniach i zagrożenia wewnętrzne, odkryć obszary wymagające poprawy i opracować zasady sprzyjające pracownikom, a nawet szczegółowo zrozumieć, co działa dobrze na samopoczucie pracowników.
Jednocześnie jednak istnieje znaczny potencjał do nadużyć. Firmy mogą okazać się zbyt inwazyjne - do tego stopnia, że prowadzi to do toksycznego środowiska pracy i staje się pożywką dla nieufności. W rzeczywistości szczegółowy dostęp do danych dotyczących aktywności może utorować drogę do dyskryminacji i niesprawiedliwego traktowania. Metody pracy pracowników mogą zostać błędnie zinterpretowane jako ich opieszałość. Dlatego też często słyszy się, że pracownicy są niezadowoleni z tego, że są pod obserwacją. O 39% pracowników twierdzi, że monitorowanie ma negatywny wpływ na ich relacje z pracodawcą. 43% potwierdza, że taka praktyka wpływa na morale firmy.
Tempo rozwoju
Często dyskutowaliśmy na temat obowiązujące przepisy, takie jak ogólne rozporządzenie o ochronie danych (RODO), ustawa o prywatności w łączności elektronicznej (ECPA) itp. Przepisy te, zwłaszcza RODO, ustanowiły wysokie standardy ochrony danych i prywatności użytkowników. Obejmuje to również dobrze zdefiniowany nacisk na dane pracowników.
Jednak zakres i skala możliwego gromadzenia danych przekraczają możliwości przepisów, które zostały przewidziane zaledwie kilka lat temu. Mówiąc prościej, przepaść między tym, co jest technologicznie możliwe, a tym, co jest prawnie dopuszczalne, powiększa się. Rezultat? Próżnia regulacyjna, która pozostawia otwartą przestrzeń dla nieumyślnego, a nawet celowego niewłaściwego wykorzystania technologii do nadzoru. Tak więc reformy regulacyjne i ciągły dialog na temat utrzymania istniejących ram w modzie to ważne wezwanie.
Aktualizacje i zmiany w przepisach dotyczących monitorowania pracowników
Aktualizacje i zmiany w przepisach dotyczących monitorowania pracowników
Biorąc pod uwagę powyższe obawy, jurysdykcje na całym świecie zdają sobie sprawę z pilnej potrzeby wdrożenia przepisów, które obiecują regulację systemów opartych na sztucznej inteligencji oraz ochronę praw i danych pracowników.
Aby ułatwić zrozumienie i zrozumienie wpływu, wymieniamy cztery takie główne aktualizacje i obszary geograficzne, na które będą miały wpływ.
1. Zaktualizowane wytyczne ICO (Wielka Brytania, 2023 r.)
Biuro Komisarza ds. Informacji (ICO) zaostrzyło ostatnio regulacje dotyczące ingerencji w dane ze strony przedsiębiorstw. Sprawa Serco Leisure Operating Limited z lutego 2024 r., która doprowadziła do Zawiadomienie o egzekucji ICO służy jako dobry przykład. Organ regulacyjny nakazał firmie zaprzestanie przetwarzania danych biometrycznych. Instrukcja ta została poparta artykułami 5, 6 i 9, które zalecają uczciwe i zgodne z prawem przetwarzanie, zgodną z prawem podstawę przetwarzania i nie tylko.
Wszystko to w kontekście zaktualizowanych wytycznych ICO dotyczących zgodnego z prawem monitorowania w Wielkiej Brytanii sugeruje, że regulator dotrzymuje kroku postępowi technologicznemu w przestrzeni nadzoru. Ich ideą jest zapewnienie większej pewności regulacyjnej, ochrona praw pracowników do ochrony danych i budowanie ekosystemu biznesowego, który sprzyja zaufaniu wśród pracowników i klientów.
Oto najważniejsze aktualizacje wytycznych ICO dotyczących praktyk zatrudnienia i ochrony danych, które mają znaczenie dla korzystania z oprogramowania do monitorowania pracowników:
Monitoruj pracowników zgodnie z prawem: ICO nakłada na firmy obowiązek rozważenia sześciu zgodnych z prawem podstaw i wybrania jednej z nich w celu zgodnego z prawem monitorowania pracowników. Podstawy te obejmują zgodę, umowę, obowiązek prawny, żywotne interesy, zadanie publiczne i uzasadnione interesy. Każda podstawa obejmuje procedury, które prowadzą do zgodnego z prawem monitorowania i utrzymują wszystko w ryzach.
Informowanie o zautomatyzowanym podejmowaniu decyzji: ICO określa plan działania dla firm korzystających z oprogramowania do monitorowania pracowników, które pomaga w zgodnym z prawem zautomatyzowanym podejmowaniu decyzji. W takim przypadku firmy muszą poinformować pracowników o przetwarzanych informacjach i logice takiego przetwarzania. Pracownicy muszą również mieć możliwość zażądania interwencji człowieka.
Listy kontrolne: Aby ułatwić mapowanie wymogów regulacyjnych na praktyki stosowane w całej firmie, ICO oferuje listy kontrolne które firmy mogą wykorzystać do ochrony danych.
2. Działania egzekucyjne CNIL (Francja, 2023-2024)
Krajowa Komisja Informatyki i Wolności (CNIL) we Francji ma podejście podobne do ICO, zapewniając, że firmy są pociągnięte do odpowiedzialności za niewłaściwe wykorzystanie danych pracowników - dokładnie to, co ich ostatnie 32 miliony euro grzywny na stronie Amazon France Logistique.
Francuski Urząd Ochrony Danych orzekł, że Amazon stworzył nielegalny system monitorowania, w którym firma mierzyła szczegółowe przerwy w pracy w celu mikrozarządzania pracownikami. Nadrzędną reakcją organu wobec Amazon była sankcja za kilka naruszeń RODO, w tym związanych z monitorowaniem pracowników za pomocą skanerów, niezapewnieniem zgodnego z prawem przetwarzania danych zgodnie z art. 6 RODO i nie tylko.
W związku z tym, poniżej przedstawiamy najnowsze aktualizacje odpowiedzi CNIL na monitorowanie pracowników, na które zainteresowane firmy muszą zwracać uwagę:
Agregacja i czas przechowywania danych: Jedną z kluczowych informacji z ostatniego orzeczenia CNIL jest to, że koncentrują się one ściśle na tym, jak długo firmy przechowują dane pracowników i czy okres ten jest uzasadniony. Zapożyczając z przykładu Amazona, CNIL zauważył, że dane ze skanera magazynowego zebrane w ciągu miesiąca zostały wykorzystane do analizy statystycznej. Zamiast tego regulator orzekł, że jeden tydzień jest wystarczający do oceny wydajności i określenia potrzeb szkoleniowych.
Przejrzystość informacji: Choć nie jest to nowy aspekt, decyzja CNIL zwróciła uwagę na sposób, w jaki firmy unikają informowania pracowników (w tym pracowników tymczasowych) o praktyce i zakresie monitorowania - coś, co nie będzie przedmiotem zainteresowania organów regulacyjnych.
3. Ustawa o DPDP (Indie, 2023-2024)
Ustawa o ochronie cyfrowych danych osobowych z 2023 r. oczekuje na uchwalenie i konsultacje publiczne, ale oczekuje się, że przyniesie ona szereg znaczących zmian w indyjskim krajobrazie monitorowania pracowników.
Ustawa wprowadza zrównoważone podejście do zgody na wykorzystywanie danych pracowników. Zgodnie z nią pracodawcy muszą uzyskać zgodę pracowników na przetwarzanie danych. Ograniczy to przypadki wykorzystywania danych przez działy HR firm bez ich zgody. Ustawa zastrzega jednak prawo pracodawców do pominięcia zgody w przypadku scenariuszy, które są "pewnymi uzasadnionymi zastosowaniami". Obejmują one sytuacje związane ze stratą lub odpowiedzialnością.
4. Zmiany w RODO (UE, 2023 r.)
Unia Europejska aktualizuje również dobrze ugruntowane zasady RODO, które kontrolują monitorowanie pracowników w całej UE i są w rzeczywistości podstawowym zestawem zasad regulujących nadzór na całym świecie. Niektóre kluczowe zmiany dotyczą:
- Wspieranie lepszego funkcjonowania spraw transgranicznych, z lepszą dopuszczalnością skarg i usprawnieniem rozstrzygania sporów.
- Zapewnienie lepszego etapu stronom objętym dochodzeniem, tak aby ich głosy zostały wysłuchane i zaoferowano szybkie rozwiązania.
Są to bardziej jakościowe aktualizacje mające na celu udoskonalenie krajobrazu regulacyjnego, ale ich wpływ może być znaczący, jeśli chodzi o spójność egzekwowania i wdrażania zasad RODO w całej UE.
Kluczowe wnioski
- Organy regulacyjne na całym świecie reagują na wykorzystanie lepszej technologii do monitorowania pracowników i zapewnienia, że odbywa się to w sposób zgodny z prawem
- Prawa pracowników znajdują się w centrum tych nowych aktualizacji
- Wszelkie nadużycia technologii monitorowania i danych pracowników wymagałyby większej kontroli i odpowiedzialności.
Przeczytaj także: Jak legalnie i skutecznie monitorować pracowników