Nastąpił szybki, globalny rozwój w kierunku wzmocnienia przepisów dotyczących prywatności użytkowników. W dużej mierze można to przypisać technologiom wyprzedzającym ramy prawne. Jednym z takich przykładów jest pojawienie się i skala generatywnej sztucznej inteligencji (lub Gen AI).
W 2023 r. firma McKinsey podała, że potencjał ekonomiczny aplikacji Gen AI wynosi między 2,6 bln USD i 4,4 bln USD rocznie. Jednocześnie jednak zrozumienie, kontrolowanie i zagwarantowanie bezpieczeństwa Gen AI stanowi poważne wyzwanie dla funkcji ryzyka i zgodności. Dlaczego? Ze względu na brak przejrzystości funkcjonalnej i danych wykorzystywanych do szkolenia, potencjalne naruszenia własności intelektualnej oraz szereg obaw związanych z naruszeniem prywatności użytkowników - a wszystko to na niespotykaną dotąd skalę i z niespotykaną dotąd szybkością.
Sytuacja nie jest tak jednoznaczna w sferze monitorowania pracowników, ale łatwy dostęp do danych pracowników i ich wykorzystanie - dzięki potężnej analityce, wykorzystaniu sztucznej inteligencji i ujednoliceniu danych - stawia pod znakiem zapytania wykonalność zasad i przepisów zaprojektowanych dla ery mniejszej ilości danych.
Po pierwsze, czy ruch w kierunku bardziej rygorystycznych przepisów jest potrzebny?
Według badanie Według Top10VPN, popyt na rozwiązania do monitorowania pracowników wzrósł po pandemii aż o 75% w marcu 2020 r., 75% w styczniu 2022 r. i 73% w pierwszym kwartale 2022 r. Wiele dużych i małych firm na całym świecie polega na tych rozwiązaniach, aby zapewnić, że praca przebiega zgodnie z planem, ludzie są odpowiedzialni i nie dochodzi do kradzieży czasu, która mogłaby zaszkodzić zarówno prywatności pracowników, jak i wynikom finansowym firmy. Istnieją jednak dwie strony medalu.
Potencjalne nadużycia
Narzędzia do monitorowania pracowników stają się coraz potężniejsze. Są w stanie śledzić wszystko, od konwencjonalnych naciśnięć klawiszy po bardziej zaawansowane przeglądanie stron internetowych, a nawet mimikę twarzy. Korzyści, jeśli się nad tym zastanowić, są wielorakie. Firmy mogą zwiększyć produktywność, zidentyfikować potencjalne luki w zabezpieczeniach i zagrożenia wewnętrzne, odkryć obszary wymagające poprawy i opracować zasady sprzyjające pracownikom, a nawet szczegółowo zrozumieć, co działa dobrze na samopoczucie pracowników.
Jednocześnie jednak istnieje znaczny potencjał do nadużyć. Firmy mogą okazać się zbyt inwazyjne - do tego stopnia, że prowadzi to do toksycznego środowiska pracy i staje się pożywką dla nieufności. W rzeczywistości szczegółowy dostęp do danych dotyczących aktywności może utorować drogę do dyskryminacji i niesprawiedliwego traktowania. Metody pracy pracowników mogą zostać błędnie zinterpretowane jako ich opieszałość. Dlatego też często słyszy się, że pracownicy są niezadowoleni z tego, że są pod obserwacją. O 39% pracowników twierdzi, że monitorowanie ma negatywny wpływ na ich relacje z pracodawcą. 43% potwierdza, że taka praktyka wpływa na morale firmy.
Tempo rozwoju
Często dyskutowaliśmy na temat , takie jak ogólne rozporządzenie o ochronie danych (RODO), ustawa o prywatności w łączności elektronicznej (ECPA) itp. Przepisy te, zwłaszcza RODO, ustanowiły wysokie standardy ochrony danych i prywatności użytkowników. Obejmuje to również dobrze zdefiniowany nacisk na dane pracowników.
Jednak zakres i skala możliwego gromadzenia danych przekraczają możliwości przepisów, które zostały przewidziane zaledwie kilka lat temu. Mówiąc prościej, przepaść między tym, co jest technologicznie możliwe, a tym, co jest prawnie dopuszczalne, powiększa się. Rezultat? Próżnia regulacyjna, która pozostawia otwartą przestrzeń dla nieumyślnego, a nawet celowego niewłaściwego wykorzystania technologii do nadzoru. Tak więc reformy regulacyjne i ciągły dialog na temat utrzymania istniejących ram w modzie to ważne wezwanie.

Aktualizacje i zmiany w przepisach dotyczących monitorowania pracowników
Aktualizacje i zmiany w przepisach dotyczących monitorowania pracowników
Given the above concerns, jurisdictions across the world are realising the urgency of implementing laws that promise regulation of AI-powered systems and protection of employee rights and data.
Aby ułatwić zrozumienie i zrozumienie wpływu, wymieniamy cztery takie główne aktualizacje i obszary geograficzne, na które będą miały wpływ.
1. Zaktualizowane wytyczne ICO (Wielka Brytania, 2023 r.)
Biuro Komisarza ds. Informacji (ICO) zaostrzyło ostatnio regulacje dotyczące ingerencji w dane ze strony przedsiębiorstw. Sprawa Serco Leisure Operating Limited z lutego 2024 r., która doprowadziła do Zawiadomienie o egzekucji ICO służy jako dobry przykład. Organ regulacyjny nakazał firmie zaprzestanie przetwarzania danych biometrycznych. Instrukcja ta została poparta artykułami 5, 6 i 9, które zalecają uczciwe i zgodne z prawem przetwarzanie, zgodną z prawem podstawę przetwarzania i nie tylko.
Wszystko to w kontekście zaktualizowanych wytycznych ICO dotyczących zgodnego z prawem monitorowania w Wielkiej Brytanii sugeruje, że regulator dotrzymuje kroku postępowi technologicznemu w przestrzeni nadzoru. Ich ideą jest zapewnienie większej pewności regulacyjnej, ochrona praw pracowników do ochrony danych i budowanie ekosystemu biznesowego, który sprzyja zaufaniu wśród pracowników i klientów.
Oto najważniejsze aktualizacje wytycznych ICO dotyczących praktyk zatrudnienia i ochrony danych, które mają znaczenie dla korzystania z oprogramowania do monitorowania pracowników:
Monitoruj pracowników zgodnie z prawem: ICO nakłada na firmy obowiązek rozważenia sześciu zgodnych z prawem podstaw i wybrania jednej z nich w celu zgodnego z prawem monitorowania pracowników. Podstawy te obejmują zgodę, umowę, obowiązek prawny, żywotne interesy, zadanie publiczne i uzasadnione interesy. Każda podstawa obejmuje procedury, które prowadzą do zgodnego z prawem monitorowania i utrzymują wszystko w ryzach.
Informowanie o zautomatyzowanym podejmowaniu decyzji: ICO określa plan działania dla firm korzystających z oprogramowania do monitorowania pracowników, które pomaga w zgodnym z prawem zautomatyzowanym podejmowaniu decyzji. W takim przypadku firmy muszą poinformować pracowników o przetwarzanych informacjach i logice takiego przetwarzania. Pracownicy muszą również mieć możliwość zażądania interwencji człowieka.
Listy kontrolne: Aby ułatwić mapowanie wymogów regulacyjnych na praktyki stosowane w całej firmie, ICO oferuje listy kontrolne które firmy mogą wykorzystać do ochrony danych.
2. Działania egzekucyjne CNIL (Francja, 2023-2024)
Krajowa Komisja Informatyki i Wolności (CNIL) we Francji ma podejście podobne do ICO, zapewniając, że firmy są pociągnięte do odpowiedzialności za niewłaściwe wykorzystanie danych pracowników - dokładnie to, co ich ostatnie 32 miliony euro grzywny na stronie Amazon France Logistique.
Francuski Urząd Ochrony Danych orzekł, że Amazon stworzył nielegalny system monitorowania, w którym firma mierzyła szczegółowe przerwy w pracy w celu mikrozarządzania pracownikami. Nadrzędną reakcją organu wobec Amazon była sankcja za kilka naruszeń RODO, w tym związanych z monitorowaniem pracowników za pomocą skanerów, niezapewnieniem zgodnego z prawem przetwarzania danych zgodnie z art. 6 RODO i nie tylko.
W związku z tym, poniżej przedstawiamy najnowsze aktualizacje odpowiedzi CNIL na monitorowanie pracowników, na które zainteresowane firmy muszą zwracać uwagę:
Agregacja i czas przechowywania danych: Jedną z kluczowych informacji z ostatniego orzeczenia CNIL jest to, że koncentrują się one ściśle na tym, jak długo firmy przechowują dane pracowników i czy okres ten jest uzasadniony. Zapożyczając z przykładu Amazona, CNIL zauważył, że dane ze skanera magazynowego zebrane w ciągu miesiąca zostały wykorzystane do analizy statystycznej. Zamiast tego regulator orzekł, że jeden tydzień jest wystarczający do oceny wydajności i określenia potrzeb szkoleniowych.
Przejrzystość informacji: Choć nie jest to nowy aspekt, decyzja CNIL zwróciła uwagę na sposób, w jaki firmy unikają informowania pracowników (w tym pracowników tymczasowych) o praktyce i zakresie monitorowania - coś, co nie będzie przedmiotem zainteresowania organów regulacyjnych.
3. Ustawa o DPDP (Indie, 2023-2024)
The Digital Personal Data Protection Act of 2023 is pending legislation and public consultation, but it's expected to bring about a slew of significant changes in the Indian employee monitoring landscape.
The Act brings forward a balanced approach to consent regarding employee data use. According to it, employers must obtain employees' consent for data processing. This will limit the non-consensual use of data at the hands of company HRs. However, the Act reserves employers' right to surpass consent in case of scenarios that are "certain legitimate uses." These include situations related to loss or liability.
4. Zmiany w RODO (UE, 2023 r.)
Unia Europejska aktualizuje również dobrze ugruntowane zasady RODO, które kontrolują monitorowanie pracowników w całej UE i są w rzeczywistości podstawowym zestawem zasad regulujących nadzór na całym świecie. Niektóre kluczowe zmiany dotyczą:
- Wspieranie lepszego funkcjonowania spraw transgranicznych, z lepszą dopuszczalnością skarg i usprawnieniem rozstrzygania sporów.
- Zapewnienie lepszego etapu stronom objętym dochodzeniem, tak aby ich głosy zostały wysłuchane i zaoferowano szybkie rozwiązania.
Są to bardziej jakościowe aktualizacje mające na celu udoskonalenie krajobrazu regulacyjnego, ale ich wpływ może być znaczący, jeśli chodzi o spójność egzekwowania i wdrażania zasad RODO w całej UE.
Kluczowe wnioski
- Organy regulacyjne na całym świecie reagują na wykorzystanie lepszej technologii do monitorowania pracowników i zapewnienia, że odbywa się to w sposób zgodny z prawem
- Prawa pracowników znajdują się w centrum tych nowych aktualizacji
- Wszelkie nadużycia technologii monitorowania i danych pracowników wymagałyby większej kontroli i odpowiedzialności.
Przeczytaj także: Jak legalnie i skutecznie monitorować pracowników




