Конфіденційність працівників: Які дані роботодавці не мають права отримувати

У нашу цифрову епоху інформація є найвищою цінністю. Невидимі складні алгоритми стежать за кожним нашим кліком в Інтернеті, щоб створити наш детальний портрет для таргетованої реклами. Соціальні мережі знають і можуть розповісти про нас більше, ніж нам зручно визнати. Навіть наші роботодавці можуть відстежувати все, що ми робимо в стінах офісу, а іноді й за його межами.

У 2022 році американський бухгалтер втратив роботу після участі у Всесвітньому велопробігу голяка. Його хобі не було пов'язане з кар'єрою, він був у вільний від роботи час і не публікував своїх фотографій в Інтернеті. Проте його бос все одно вирішив звільнити його після того, як побачив знайоме обличчя на знімку, опублікованому іншим учасником велопробігу.

Цей випадок не є унікальним. Роботодавці можуть збирати величезну кількість даних про своїх працівників - від основних контактних даних і минулого досвіду роботи до інформації про стан здоров'я та політичні погляди. Збір основних даних необхідний для нарахування заробітної плати, управління ефективністю роботи або інших законних бізнес-цілей. Збір іншої особистої інформації та прийняття на її основі управлінських рішень є незаконним і неетичним, але де межа?

У цій статті ми спробуємо провести цю межу і заглибитися в критичне питання про те, які дані роботодавці не мають права отримувати. Зрештою, наша мета - надати відправну точку для розуміння меж, яких роботодавці повинні дотримуватися при зборі даних про працівників.

Межі того, які дані може збирати роботодавець, визначаються законодавством про конфіденційність і трудовим законодавством. Однак ці закони можуть суттєво відрізнятися в різних країнах світу. У цій статті ми коротко розглянемо лише кілька ключових юрисдикцій. Щоб дізнатися про правові особливості вашого регіону, рекомендуємо проконсультуватися з юристом.

Варто зазначити, що більшість законів про захист персональних даних не охоплюють безпосередньо збір даних на робочому місці. Натомість вони встановлюють загальні вимоги до обробки персональних даних, які в подальшому слід інтерпретувати для відносин між роботодавцем і працівником. Для цілей цієї статті ми будемо описувати ці закони, використовуючи терміни "роботодавець" і "працівник".

• Закон про переносимість та підзвітність медичного страхування (HIPAA) є ключовим законом, що захищає інформацію про здоров'я працівників. Він обмежує доступ роботодавців до медичних записів працівників і передбачає, що вони можуть бути використані та розголошені лише для конкретних цілей і з дозволу пацієнта.

• Закон про американців з інвалідністю (ADA) захищає людей з інвалідністю від дискримінації. Цей закон також обмежує доступ роботодавця до медичної інформації працівника. Зокрема, роботодавець може отримати медичну інформацію, тільки якщо вона пов'язана з роботою, або якщо працівник потребує спеціальних пристосувань у зв'язку з інвалідністю.

• Закон про чесну кредитну звітність (FCRA) регулює, як роботодавці збирають, використовують і розкривають кредитну інформацію про працівників. Перед отриманням кредитної інформації роботодавці, як правило, повинні визначити допустиму мету (наприклад, перевірка біографії) та отримати письмову згоду від працівника.

• Національний закон про трудові відносини (NLRA) захищає, зокрема, право працівників обговорювати умови праці один з одним, у тому числі через соціальні мережі. Однак він не гарантує повної конфіденційності в соціальних мережах, і роботодавці можуть мати певну свободу дій щодо притягнення працівників до дисциплінарної відповідальності за пости, які вважаються деструктивними або загрозливими для робочого місця.

• Закон про конфіденційність 1974 року: Цей закон в першу чергу стосується того, як федеральні агенції поводяться з персональними даними, але він пропонує деякі ідеї. Він встановлює такі принципи, як "чесна інформаційна практика", вимагаючи від агентств бути прозорими щодо збору даних і обмежувати їх використання законними цілями.

Це лише кілька ключових нормативних актів, що стосуються захисту даних. Крім того, існує кілька законів штату, таких як Каліфорнійський закон про захист персональних даних споживачів (CCPA), які надають працівникам певні права щодо збору їхніх персональних даних роботодавцями.

Загальний регламент про захист даних (General Data Protection Regulation, або GDPR) є основним нормативно-правовим актом, що регулює захист даних і приватності в ЄС. Він встановлює високу планку прав на приватність, обмежуючи обсяг даних, які можуть збирати роботодавці, і надаючи працівникам значний контроль над їхніми даними, зібраними роботодавцями.

Хоча GDPR чітко не визначає, які персональні дані можна збирати, а які ні, він зобов'язує роботодавців дотримуватися принципів прозорості та необхідності. Іншими словами, вони повинні мати законні підстави для збору кожного типу інформації, наприклад, контрактна необхідність, безпека на робочому місці або оцінка ефективності роботи. Крім того, роботодавці повинні бути відкритими з працівниками щодо того, які дані збираються, як вони використовуються та як довго зберігаються.

GDPR вимагає від роботодавців запровадити відповідні технічні та організаційні заходи для захисту даних працівників від несанкціонованого доступу, розкриття, зміни або знищення.

У разі витоку даних, що становить високий ризик для прав і свобод працівників, роботодавці повинні повідомити про це відповідний орган захисту даних та потенційно постраждалих осіб.

Бразильський Lei Geral de Proteção de Dados (LGPD) - це нещодавній комплексний закон про конфіденційність, розроблений за зразком GDPR, який набуде чинності у 2020 році.

Як і GDPR, LGPD не визначає, які дані про працівників роботодавець не може збирати. Однак він встановлює рамки того, як роботодавці повинні збирати, використовувати та зберігати персональні дані працівників. Роботодавці зобов'язані отримати згоду працівників на збір їхніх даних. Вони можуть збирати лише ті дані, які є суворо необхідними для виконання трудового договору, забезпечення безпеки на робочому місці, розслідування неправомірної поведінки або інших законних ділових цілей. Вони повинні забезпечити надійне зберігання зібраних даних і захист від несанкціонованого доступу, розкриття, зміни або знищення. Нарешті, у разі витоку даних, що становить високий ризик для прав і свобод працівників, роботодавці повинні повідомити про це Бразильський національний орган із захисту даних (ANPD) та потенційно постраждалих осіб.

Персональні дані в Китаї захищені Законом про захист персональних даних (PIPL). PIPL визначає "особисту інформацію" в широкому сенсі як будь-які дані, які можуть ідентифікувати особу, як окремо, так і в поєднанні з іншою інформацією. Ця інформація включає дані про працівників, такі як ім'я, контактна інформація, історія працевлаштування, оцінки роботи та медичні записи (з додатковими обмеженнями).

Згідно з PIPL, роботодавці можуть збирати та обробляти дані працівників лише після отримання їхньої згоди. Закон також допускає інші правові підстави, включаючи договірну необхідність, дотримання юридичних зобов'язань (випадки, коли збір даних вимагається китайським законодавством) та законні інтереси.

Подібно до GDPR та LGPD, PIPL зобов'язує роботодавців бути прозорими щодо практики збору даних, зокрема, шляхом надання чіткої та доступної політики конфіденційності та впровадження розумних заходів безпеки для захисту даних працівників від несанкціонованого доступу, розкриття, зміни або знищення.

Описані норми, здавалося б, дають роботодавцям свободу збирати майже будь-які персональні дані, якщо вони можуть пояснити це діловими цілями. Однак на практиці це не так.

Роботодавці не мають права збирати певні дані без законного обґрунтування та згоди працівника. Ці дані, як правило, поділяються на наступні категорії:

Чутливі дані - це особиста інформація, яка може бути використана для дискримінації особи або розкриття приватних аспектів її життя. Ці дані включають, але не обмежуються расовою та етнічною приналежністю, релігією, філософськими переконаннями, сексуальною орієнтацією, гендерною ідентичністю та політичними поглядами.

Збір і використання цих даних може призвести до дискримінації при прийомі на роботу, просуванні по службі або інших управлінських рішеннях. Це також може створити некомфортне або вороже робоче середовище для працівників.

Багато юрисдикцій обмежують доступ роботодавців до інформації про здоров'я працівників. Однак є кілька винятків:

• Працівник надає письмову згоду.

• Інформація необхідна для адміністрування плану охорони здоров'я або з міркувань безпеки на робочому місці (наприклад, для оцінки придатності до виконання службових обов'язків або організації спеціальних пристосувань для людей з обмеженими можливостями).

• Розкриття інформації вимагається законом (наприклад, вимоги про компенсацію працівникам або прохання про відпустку).

Роботодавці не мають законних підстав збирати великі фінансові дані про працівників, окрім базової інформації для нарахування заробітної плати та сплати податків. Закриті дані в цьому випадку включають дані банківських рахунків, кредитні історії та інвестиційні активи.

Хоча роботодавці можуть мати законний інтерес у моніторингу поведінки працівників, вони не можуть поширювати свій моніторинг на особисті акаунти в соціальних мережах. Наприклад, роботодавці не можуть вимагати від працівників додавати їх у друзі в соціальних мережах або отримувати доступ до приватних акаунтів, оскільки працівники мають право на приватність у користуванні соціальними мережами.

Право працівника на недоторканність приватного життя захищає його від моніторингу з боку роботодавця у вільний від роботи час. Моніторинг роботодавців зазвичай поширюється лише на робочий час та діяльність, пов'язану з роботою. У більшості юрисдикцій збір даних про діяльність працівників у позаробочий час обмежений, за винятком випадків, коли це має законне ділове обґрунтування і не порушує права на недоторканність приватного життя.

За даними Harvard Business Review, 67,6% північноамериканських компаній з чисельністю працівників понад 500 осіб відстежують робочу активність співробітників за допомогою спеціального програмного забезпечення. Ще одне дослідження, підсумоване WifiTalents стверджує, що майже 96% опитаних організацій використовують ту чи іншу технологію моніторингу співробітників.

За своєю природою програмне забезпечення для моніторингу співробітників може збирати велику кількість даних про працівників. Найпоширеніші функції включають моніторинг електронної пошти, моніторинг активності в Інтернеті, запис екрану, відстеження використання додатків і навіть відео- та звукоспостереження. Моніторинг працівників переслідує благородні цілі, такі як забезпечення належної ділової комунікації, запобігання загрозам безпеці та підвищення продуктивності. Однак іноді він може збирати недозволені персональні дані, якщо не враховувати правові та етичні міркування.

Законність практики моніторингу працівників може відрізнятися залежно від місцезнаходження. Деякі нормативні акти, такі як GDPR, диктують суворіші вимоги щодо захисту приватності працівників, обмежуючи дозволений обсяг моніторингу. Ось чому роботодавці повинні вивчити та зрозуміти чинне законодавство у своїй місцевості, перш ніж впроваджувати будь-який вид моніторингу працівників.

З етичної точки зору, принципи прозорості, пропорційності та обґрунтованості повинні керувати використанням програмного забезпечення для моніторингу працівників. Роботодавці повинні обмежити збір даних суто необхідними аспектами та збалансувати збір даних з правами працівників на приватність. Найкращий спосіб зробити це - обрати адаптивні рішення для моніторингу працівників, які можна легко налаштувати, щоб уникнути збору надлишкових даних.

У цьому випадку ви можете вимкнути непотрібні функції відстеження, щоб уникнути збору надлишкових даних і дотримуватися чинного законодавства.

Також розгляньте програми моніторингу, які дозволяють працівникам запускати та зупиняти моніторинг вручну. Ця опція дозволяє працівникам захистити дані, які вони не хочуть, щоб були записані. Це буде особливо корисно для віддалених працівників або тих, хто використовує особисті пристрої для роботи.

Розуміння прав на приватність є життєво важливим не лише для роботодавців, але й для працівників. Це дає їм можливість контролювати свої персональні дані в усіх сферах свого життя, в тому числі на робочому місці. Конкретні права, надані працівникам, і відповідні закони будуть відрізнятися залежно від їхнього місцезнаходження. Наприклад, GDPR, LGPD та PIPL надають працівникам кілька важливих прав щодо їхніх даних:

Право на доступ: Працівники можуть вимагати доступ до своїх персональних даних, які зберігаються у роботодавця.

Право на виправлення: Працівники можуть вимагати виправлення неточних або неповних даних.

Право на видалення (також відоме як "право на забуття"): За певних обставин працівники можуть вимагати видалення своїх персональних даних.

Право на обмеження обробки: Співробітники можуть обмежити використання своїх даних.

Право на перенесення даних: Працівники можуть вимагати отримання своїх персональних даних у структурованому, загальноприйнятому форматі та передачу їх іншому роботодавцю (якщо це технічно можливо).

Важливо зазначити, що це лише загальні приклади. Ми рекомендуємо працівникам проконсультуватися з юридичними ресурсами або фахівцями з питань конфіденційності, щоб зрозуміти свої конкретні права щодо конфіденційності даних на робочому місці.

Цифрова епоха розмила межі між роботою та особистим життям. Роботодавці можуть збирати та отримувати доступ до величезних масивів даних про працівників, що ставить гострі питання про приватність та етичні межі. Законні бізнес-інтереси роботодавців, такі як безпека, продуктивність і дотримання законодавства, не повинні перетинати межу між необхідністю і приватним життям працівників. Компанії повинні розуміти правові межі та балансувати свої інтереси з повагою до прав працівників.

Для бізнесу ми рекомендуємо проконсультуватися з юрисконсультом, щоб переконатися, що ваша практика збору даних відповідає чинному законодавству. Розгляньте можливість впровадження чіткої та доступної політики конфіденційності, яка визначає типи даних, які ви збираєте, способи їх використання та права працівників щодо їхніх даних.

Працівникам ми радимо ознайомитися з вашими правами на конфіденційність даних на робочому місці. У багатьох юрисдикціях працівники мають право на доступ до своїх персональних даних, їх виправлення або навіть видалення. Не соромтеся звертатися до адвоката або консультуватися з фахівцями з питань конфіденційності, якщо у вас є занепокоєння щодо збору ваших даних роботодавцем.