Нещодавні зміни в законодавстві та нормативно-правових актах щодо моніторингу працівників

У світі спостерігається стрімкий розвиток у напрямку посилення законів про конфіденційність користувачів. Багато в чому це можна пояснити тим, що технології випереджають правові рамки. Поява і масштаби генеративного штучного інтелекту (або Gen AI) - один з таких прикладів.

Компанія McKinsey у 2023 році повідомила, що економічний потенціал додатків Gen AI становить від $2,6 трлн та $4,4 трлн щорічно. Але в той же час розуміння, контроль і гарантування безпеки від Gen AI є значним викликом для функцій управління ризиками та комплаєнсу. Чому? Тому що відсутня прозорість функцій і даних, які використовуються для навчання, існує потенціал для порушення інтелектуальної власності, а також безліч проблем, пов'язаних з порушенням конфіденційності користувачів - і все це в безпрецедентних масштабах і з безпрецедентною швидкістю.

Ситуація не така однозначна у сфері моніторингу працівників, але легкий доступ до даних про працівників та їх використання - завдяки потужній аналітиці, використанню штучного інтелекту та уніфікації даних - ставить під сумнів життєздатність правил і норм, розроблених для епохи з меншим обсягом даних.

За даними опитування За даними Top10VPN, попит на рішення для моніторингу співробітників різко зріс після пандемії - на 75% у березні 2020 року, 75% у січні 2022 року та 73% у першому кварталі 2022 року. Багато великих і малих компаній по всьому світу покладаються на ці рішення, щоб переконатися, що робота йде за графіком, люди підзвітні, і немає крадіжки часу, яка може завдати шкоди як конфіденційності співробітників, так і кінцевому результату бізнесу. Але є дві сторони медалі.

Інструменти моніторингу працівників стають дедалі потужнішими. Вони здатні відстежувати все - від звичайних натискань клавіш до більш складних веб-переглядів і навіть міміки. Якщо замислитися, то переваги від цього дуже різноманітні. Компанії можуть підвищити продуктивність, виявити потенційні лазівки в системі безпеки та внутрішні загрози, виявити сфери для вдосконалення та розробити політику на користь працівників, і навіть детально розібратися в тому, що саме працює для їхнього добробуту.

Але водночас існує значний потенціал для зловживань. Компанії можуть виявитися занадто нав'язливими - до такої міри, що це призведе до створення токсичного робочого середовища і стане поживним ґрунтом для недовіри. Насправді, детальний доступ до даних про діяльність може прокласти шлях до дискримінації та несправедливого ставлення. Методи роботи працівників можуть бути неправильно витлумачені як їхнє байдикування. І саме тому часто повідомляється, що працівники незадоволені тим, що їх ставлять під контроль. Про 39% працівників повідомляють, що моніторинг негативно впливає на їхні стосунки з роботодавцем. 43% підтверджують, що така практика впливає на моральний дух компанії.

Ми часто обговорювали існуючі нормативні акти на місці, такі як Загальний регламент про захист даних (GDPR), Закон про конфіденційність електронних комунікацій (ECPA) тощо. Ці нормативні акти, особливо GDPR, встановили високі стандарти захисту даних користувачів та їхньої приватності. Сюди входить і чітко визначена увага до даних працівників.

Однак обсяг і масштаби можливого збору даних перевершують можливості нормативно-правових актів, які передбачалися лише кілька років тому. Простіше кажучи, розрив між тим, що можливо технологічно, і тим, що дозволено законом, збільшується. Результат? Регуляторний вакуум, який залишає простір для ненавмисного і навіть навмисного зловживання технологіями для стеження. Отже, регуляторні реформи і постійний діалог про те, як підтримувати існуючі рамки в актуальному стані, - це правильний заклик.

Оновлення та зміни в законодавстві про моніторинг працівників

З огляду на вищезазначені проблеми, юрисдикції в усьому світі усвідомлюють нагальність впровадження законів, які обіцяють регулювання систем на основі ШІ та захист прав і даних працівників.

Для полегшення розуміння та усвідомлення впливу, ми перераховуємо чотири такі основні оновлення та географічні регіони, на які вони вплинуть.

Офіс Комісара з питань інформації (ICO) нещодавно посилив регулювання діяльності підприємств, пов'язаної з інтрузивним використанням даних. У лютому 2024 року компанія Serco Leisure Operating Limited отримала Повідомлення про примусове виконання з ICO слугує гарним прикладом. Регулятор наказав компанії припинити обробку біометричних даних. Ця вказівка була підкріплена статтями 5, 6 і 9, які захищають справедливу і законну обробку, законну основу для обробки тощо.

Все це на тлі оновленого керівництва ICO щодо законного моніторингу у Великобританії свідчить про те, що регулятор йде в ногу з технологічним прогресом у сфері спостереження. Ідея полягає в тому, щоб забезпечити кращу регуляторну визначеність, захистити права працівників на захист даних і побудувати бізнес-екосистему, яка сприяє зміцненню довіри між працівниками та клієнтами.

Нижче наведено ключові оновлення в практиці працевлаштування та керівних принципах захисту даних ICO, які мають відношення до використання програмного забезпечення для моніторингу співробітників:

• Контролюйте працівників на законних підставах: ICO зобов'язує компанії розглянути шість законних підстав і вибрати одну з них для законного моніторингу працівників. Ці підстави включають згоду, контракт, юридичне зобов'язання, життєво важливі інтереси, суспільне завдання та законні інтереси. Кожна з цих підстав містить процедури, які ведуть до законного моніторингу та дозволяють тримати все під контролем.

• Інформуйте про автоматизоване прийняття рішень: ICO визначає план дій для підприємств, які використовують програмне забезпечення для моніторингу працівників, що допомагає законному автоматизованому прийняттю рішень. У такому випадку компанії повинні інформувати працівників про інформацію, яка обробляється, та про логіку такої обробки. Працівники також повинні мати можливість вимагати людського втручання.

• Контрольні списки: Для того, щоб полегшити зіставлення регуляторних вимог з практиками компанії, ICO пропонує контрольні списки які компанії можуть використовувати для захисту даних.

Національна комісія з інформатики та свободи Франції (CNIL) використовує підхід, подібний до ICO, щоб забезпечити відповідальність бізнесу за неправомірне використання даних співробітників - саме те, що їхні нещодавні Штраф у розмірі 32 млн євро на Amazon France Logistique розповідає нам.

Французький орган із захисту даних постановив, що Amazon створив незаконну систему моніторингу, за допомогою якої компанія вимірювала перерви в роботі для мікроменеджменту співробітників. Загальною реакцією влади на дії Amazon стали санкції за кілька порушень GDPR, зокрема, за моніторинг працівників за допомогою сканерів, незабезпечення законної обробки даних відповідно до статті 6 GDPR та інші.

Тим не менш, ось останні оновлення у відповіді CNIL щодо моніторингу працівників, які зацікавлені компанії повинні відстежувати:

• Агрегація та час зберігання даних: Одним із ключових висновків нещодавньої постанови CNIL є те, що вони суворо контролюють, як довго компанії зберігають дані про працівників і чи є цей період виправданим. На прикладі Amazon CNIL зауважив, що дані зі сканерів на складах, зібрані протягом місяця, використовувалися для статистичного аналізу. Натомість регулятор вирішив, що одного тижня достатньо для оцінки ефективності роботи та визначення потреб у навчанні.

• Прозорість інформації: Хоча рішення CNIL не є новим, воно змусило замислитися над тим, як компанії уникають інформування працівників (у тому числі тимчасових) про практику та обсяги моніторингу - те, що не сподобається регуляторам.

Закон про захист цифрових персональних даних від 2023 року ще не прийнятий і не пройшов громадські обговорення, але очікується, що він призведе до значних змін в індійському ландшафті моніторингу працівників.

Закон пропонує збалансований підхід до згоди на використання персональних даних працівників. Відповідно до нього, роботодавці повинні отримувати згоду працівників на обробку даних. Це обмежить використання даних без згоди працівника з боку кадрових служб компаній. Однак Закон залишає за роботодавцями право виходити за рамки згоди у випадках, які є "певними законними способами використання". До них відносяться ситуації, пов'язані зі збитками або відповідальністю.

Європейський Союз також оновлює добре відпрацьовану політику GDPR, яка контролює моніторинг працівників по всьому ЄС і фактично є основним набором правил для регулювання спостереження в усьому світі. Деякі ключові зміни стосуються

• Сприяння кращому функціонуванню транскордонних справ, з кращою прийнятністю скарг та впорядкуванням вирішення спорів
• Надання сторонам, що перебувають під слідством, кращого майданчика для того, щоб їхні голоси були почуті та були запропоновані швидкі рішення

Це більш якісні оновлення, спрямовані на вдосконалення регуляторного ландшафту, але їхній вплив може бути значним, коли йдеться про послідовність у застосуванні та впровадженні принципів GDPR у всьому ЄС.

• Регуляторні органи по всьому світу реагують на використання кращих технологій для моніторингу працівників та забезпечення того, щоб це робилося законним способом
• Права працівників знаходяться в центрі уваги цих оновлень
• Будь-яке неправомірне використання технологій моніторингу та даних про працівників стане приводом для більш ретельної перевірки та підзвітності

Читайте також: Як контролювати працівників законно та ефективно