mapka

Geolokalizacja pracowników (1)

Wykorzystywanie nowych technologii w celu kontrolowania aktywności pracowników nie jest zjawiskiem nowym. Dzisiaj wielu pracodawców korzysta z narzędzi służących do obserwacji, takich jak kamery, programy śledzące aktywność pracowników w sieci, czy lokalizatory. Te ostatnie umożliwiają pracodawcom, w dowolnym miejscu i czasie na świecie, na dostęp do informacji dotyczącej tego, co dzieje się w miejscu pracy, jakie prace są tam prowadzone, kto zlecił daną pracę, jaki zespół pracowników znajduje się w danym momencie w miejscu pracy i przy jakiej operacji (zadaniu), a także zweryfikować informacje dotyczące konkretnego pracownika. Inaczej mówiąc, wdrażają rozwiązanie dające możliwość geolokalizacji swoich pracowników. Czy taki sposób postępowania jest zgodny z RODO i akceptowany z punktu widzenia prawa pracy?

 

Ramy prawne

Zgodnie z art. 4 pkt. 1 RODO „dane osobowe” oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”), przy czym możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej. Zatem należy przyjąć, iż dane dotyczące lokalizacji danej osoby fizycznej są „daną osobową” w rozumieniu RODO. Z kolei zgodnie z art. 4 pkt. 2) RODO „przetwarzaniem danych osobowych” jest operacja lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taka jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie. Jeśli tak, to zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie informacji dotyczących danych o lokalizacji osoby fizycznej (pracownika), stanowi to przykład przetwarzania danych osobowych. Oczywistą konsekwencją tego jest zatem obowiązek ochrony danych osobowych osób, których dane dotyczą w ramach w/w przetwarzania jej danych, w tym konieczność wywiązania się przez użytkownika aplikacji dającej taką możliwość z obowiązków określonych w RODO oraz innych regulacjach dotyczących ochrony danych osobowych.

 

Z kolei ramy prawne w ramach szeroko rozumianego monitoringu pracowników wyznaczają znowelizowane przepisy Kodeksu pracy tj. art. 222 oraz art. 223. Aby tak rozumiany monitoring był wykorzystywany przez pracodawcę zgodnie z prawem, powinien on zrealizować szereg obowiązków wynikających nie tylko z Kodeksu pracy, ale również i RODO. Do najważniejszych z nich zaliczymy:

 

  1. Ustalenie celu, zakresu oraz sposobu zastosowania monitoringu w ramach układu zbiorowego pracy lub regulaminu pracy, bądź w obwieszczeniu – jeżeli pracodawca nie jest objęty układem zbiorowym pracy lub nie jest obowiązany do ustalenia regulaminu pracy;
  2. Poinformowanie pracowników o planowanym uruchomieniu monitoringu, najpóźniej na 2 tygodnie przed jego uruchomieniem (poza sytuacjami, kiedy monitoring taki jest już stosowany). W przypadku nowych pracowników realizacja tego obowiązku powinna nastąpić przed dopuszczeniem ich do pracy. W przypadku pracowników, który zostali już dopuszczeni do pracy, pracodawca powinien poinformować ich o zamiarze prowadzenia monitoringu;
  3. Wydanie pracownikom pisemnej informacji o sposobach i celach monitorowania z załączeniem do akt pracowniczych kopii informacji z potwierdzeniem przez pracownika jej otrzymania;
  4. Wykonywanie w stosunku do monitorowanych pracowników (oraz innych osób, które mogą znaleźć się w obszarze monitorowanym) obowiązków informacyjnych określonych w Ogólnym rozporządzeniu o ochronie danych;
  5. Oznaczenie pomieszczenia i terenu monitorowanego w sposób widoczny i czytelny (np. tabliczka z piktogramem kamery), za pomocą odpowiednich znaków lub ogłoszeń dźwiękowych, nie później niż jeden dzień przed jego uruchomieniem;

 

Podobnie jak w przypadku monitoringu wizyjnego, podstawowym celem wdrożenia geoloklizacji jest zapewnienie pełnego wykorzystania czasu pracy, właściwego użytkowania udostępnionych pracownikowi narzędzi pracy, kontrola produkcji lub zachowania w tajemnicy informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę, monitorowanie położenia pracownika oraz jego aktywności, a także ochrona mienia pracodawcy oraz zapewnienie bezpieczeństwa pracowników oraz (co w wielu przypadkach posiada walor jeszcze ważniejszy) podniesienie skuteczności zarządzania „ruchem pracowników” i ich przemieszczaniem się. Ten ostatni element staje się szczególnie ważny dla tych pracodawców, którzy w ramach swojej produkcji zobowiązani są do pozostawania przez swoich pracowników w oznaczonych strefach produkcji. Zgodnie z art. 223 Kodeksu pracy § 4 przepisy §1-3 (monitoring wizyjny) stosuje się odpowiednio do innych form monitoringu niż określone w § 1, jeśli ich zastosowanie jest konieczne do realizacji celów określonych w § 1. Powyższe cele mieszczą się w katalogu celów stosowania monitoringu, który można wywieść z dyspozycji art. 22§1K.p. i art. 22§1K.p. Należy zatem założyć, iż przy zrealizowaniu wszystkich wskazanych powyżej reguł dotyczących monitoringu, rozwiązanie takie będzie zgodne z przepisami prawa pracy, w szczególności z zapisami Kodeksu Pracy dotyczącymi monitoringu pracowników.

 

Istota geolokalizacji

Dzięki zastosowaniu odpowiednich urządzeń oraz specjalnie dedykowanego oprogramowania, pracodawcy mają dzisiaj możliwość lokalizowania w czasie rzeczywistym wszelkich narzędzi oraz osób (pracowników i współpracowników). Geolokalizacja pracowników daje jego użytkownikowi setki, a nawet tysiące strumieni danych w postaci wartości liczbowych oraz tekstowych. W przypadku monitoringu zbierane dane przekształca się na informacje poprzez oglądanie nagrań i wyciąganie wniosków z obserwacji. Można to robić osobiście, czy też za pomocą zaawansowanego programu, który analizuje obraz. Dzięki geolokalizacji dane przetwarzane są automatycznie już na etapie ich zbierania, co pozwala w czasie rzeczywistym mieć dostęp do ogromnej ilości informacji takich jak:

  1. Aktualna lokalizacja danego pracownika,
  2. Obecna lokalizacja obiektu w ruchu, w tym pracownika,
  3. Sumaryczny czas pracy pracowników z podziałem na lokalizacje,
  4. Czasu, jaki pracownik spędza na przemieszczaniu się,
  5. Wydruk lub podgląd przebiegu ruchu pracownika / grupy osób w czasie,
  6. Informacja o aktualnych ryzykach, na jakie narażony jest pracownik w danej lokalizacji.

 

We wszystkich tych aspektach mamy do czynienia z czynnością związaną z lokalizowaniem w danym miejscu lub lokalizowaniem w ruchu pracownika lub grupy wybranych osób. W tym miejscu należy przypomnieć, iż Kodeks Pracy określa m.in. granice dopuszczalności stosowania monitorowania, prawa pracowników w tym zakresie oraz obowiązki pracodawcy związane z uruchomieniem oraz utrzymaniem różnych form monitorowania. Pracodawca nie ma prawa do naruszania prywatności pracownika w miejscu pracy (na przykład poprzez śledzenie korespondencji e-mail czy sprawdzanie lokalizacji samochodu kierowanego przez pracownika) bez poważnego powodu związanego z charakterem jego pracy. Prowadzony nadzór nie może naruszać tajemnicy korespondencji oraz innych dóbr osobistych pracownika. Kontrola może być wprowadzona jedynie w celach wskazanych w art. 22§1 K.P (monitoring wizyjny), tj. jeżeli jest to niezbędne do:

  1. zapewnienia bezpieczeństwa pracowników, lub
  2. ochrony mienia, lub
  3. kontroli produkcji, lub
  4. zachowania w tajemnicy informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę.

 

Zgodnie art. 223 § 4 K.P. jeżeli jest to niezbędne do zapewnienia organizacji pracy umożliwiającej pełne wykorzystanie czasu pracy oraz właściwego użytkowania udostępnionych pracownikowi narzędzi pracy, przepisy § 1–3 stosuje się odpowiednio do innych form monitoringu niż określone w § 1. Generalnie rzecz ujmując oznacza to, że zasadniczym celem, dla którego pracodawca wprowadza jakąkolwiek formę monitoringu aktywności pracownika powinna być taka organizacja pracy, która umożliwia pełne wykorzystywanie czasu pracy oraz wykorzystanie powierzone pracownikowi narzędzia do celów zawodowych.

 

Jakie dane i jaka przesłanka przetwarzania?

Należy przyjąć, iż w ramach szeroko rozumianej geolokalizacji pracowników pracodawca będzie przetwarzał następujące dane osobowe:

  1. Imię i nazwisko;
  2. Wymiar czasu pracy,
  3. Aktualna lokalizacja danego pracownika,
  4. Czas, jaki pracownik spędza na przemieszczaniu się,
  5. Wydruk lub podgląd przebiegu ruchu pracownika / grupy osób w czasie,

 

Przepisy RODO wskazują, że każda czynność przetwarzania danych powinna być oparta na którejś ze wskazanych w rozporządzeniu podstaw prawnych. Oznacza to, że musi wystąpić określona, przewidziana przepisami prawa sytuacja, aby możliwe było przetwarzanie danych. Najczęściej wykorzystywanymi przez przedsiębiorców podstawami przetwarzania danych w odniesieniu do danych lokalizacyjnych są:

 

  1. Przetwarzanie danych na podstawie wyrażonej przez użytkownika zgody (art. 6 ust. 1 lit. a RODO) – w takim przypadku osoba sama decyduje, czy jej dane mają być przetwarzane w ramach geolokalizacji. Brak zgody skutkuje tym, że dane geolokalizacyjne nie mogą być przetwarzane;
  2. Przetwarzanie danych na podstawie prawnie uzasadnionego interesu administratora (art. 6 ust. 1 lit. f RODO) – w tej sytuacji administrator przetwarza dane geolokalizacyjne z uwagi na istnienie ważnych, zgodnych z prawem interesów, które prowadzi. Tym samym nie musi uzyskiwać od osoby, której dane dotyczą zgody. W takim przypadku konieczne jest jednak przeprowadzenie testu równowagi. Przepisy wskazują bowiem, że powołanie się na prawnie uzasadniony interes nie jest możliwe w sytuacji, gdy nadrzędny charakter wobec interesów administratora mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą. Jeżeli analiza wykaże, że prawa i wolności osoby, której dane dotyczą, mają bardziej istotny charakter niż interes administratora, to nie jest możliwe oparcie przetwarzania danych na podstawie tej przesłanki. Sytuacje takie mogą wystąpić właśnie w przypadku geolokalizacji – np. gdyby administrator chciał chronić przed kradzieżą mienie o niskiej wartości, śledząc położenie wszystkich osób na terenie jakiegoś obszaru. Ostrożność należy zachować, szczególnie gdyby śledzone miały być dzieci.

Niezależnie od posiadania ważnej podstawy prawnej do przetwarzania danych osobowych, administratorzy muszą pamiętać o przestrzeganiu zasady celowości, która stanowi, że dane osobowe powinny być przetwarzane wyłącznie w zakresie, w jakim jest to niezbędne do osiągnięcia celu przetwarzania. Oznaczałoby to, że co do zasady przetwarzanie danych o lokalizacji powinno być ściśle powiązane z zamierzonym celem. Przykładowo, firma stosująca weryfikację lokalizacji pracowników nie powinna wykorzystywać danych w celach marketingowych. Należy przy tym pamiętać, iż zgodnie z zasadą privacy by default administrator powinien zbierać tylko te dane, które są niezbędne do realizacji określonego celu przetwarzania w jak najwęższym zakresie. Jeżeli więc podstawowe funkcjonalności aplikacji mobilnej nie wymagają stosowania geolokalizacji, to należałoby ją domyślnie wyłączyć. W takim przypadku ewentualna decyzja o włączeniu geolokalizacji powinna zostać pozostawiona samemu użytkownikowi. Przykładem realizacji zasady privacy by design jest domyślne wyłączanie usług i systemów badających lokalizację oraz umożliwienie użytkownikowi prostego sposobu na włączenie zbierania tychże danych.

 

Geolokalizacja a transfer danych osobowych

Sytuacje, w których pracodawca samodzielnie przetwarza dane osobowe w ramach geolokalizacji nie jest regułą. Najczęściej konkretny pracodawca zleca prowadzenie takiego monitoringu innemu podmiotowi zewnętrznemu, a to dlatego, iż nie jest w stanie lub nie chce samodzielnie wdrażać rozwiązań technicznych pozwalających mu na korzystanie z takiej możliwości. Jeśli tak, to będziemy mieli do czynienia z transferem danych osobowych do podmiotu trzeciego, który pełnił będzie w takim układzie funkcję Procesora (podmiotu przetwarzającego). Procesor jest podmiotem, który przetwarza dane osobowe w imieniu administratora, robi to wyłącznie w zakresie i celu, jakie zostały określone przez administratora danych, a jego prawa i obowiązki w zakresie przetwarzanych danych zasadniczo określa umowa powierzenia przetwarzania danych osobowych; nie interesuje go katalog przesłanek legalizujących, bo to właśnie umowa powierzenia stanowi podstawę prawną przetwarzania przez niego danych osobowych;. Podstawę prawną powierzenia danych stanowi art. 28 ust. 1 RODO. Brzmi on w następujący sposób: Jeżeli przetwarzanie ma być dokonywane w imieniu administratora, korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą. Dodatkowo art. 28 ust. 2 wyjaśnia, iż w ramach Umowy Powierzenia Administrator szczegółowo określa Procesorowi w sposób wiążący między innymi „przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora”. Istotą powyższej konstrukcji jest fakt zlecenia przez podmiot zewnętrzny, będący Administratorem Danych Osobowych, innemu podmiotowi (występującym tutaj w roli Procesora), wykonania jakiegoś przetwarzania danych przez Procesora przekazanych mu przez Administratora w ramach konkretnego celu przetwarzania. Może się zdarzyć, iż podpisanie prostej umowy powierzenia nie wystarczy. Trzeba bowiem pamiętać, iż przetwarzanie danych przez podmiot zewnętrzny w związku z wdrożeniem przez nich usługi „geolokalizacji pracowników” często odbywa się w ramach „chmury” udostępnionej przez inny podmiot. Zatem dochodzić tutaj będzie do podpowiedzenia przez Procesora innemu podmiotowi danych osobowych przetwarzanych przez niego na zlecenie innego administratora. W ramach „chmury” cała infrastruktura systemu uruchomiona jest najczęściej w dedykowanym VPC (Virtual Private Cloud), w obrębie którego w ramach konkretnego regionu ruch sieciowy jest szyfrowany. Dzięki temu, pomimo wykorzystywania infrastruktury współdzielonej, poziom bezpieczeństwa jest wysoki. Dane przechowywane są w obrębie regionów, które podzielone są na strefy. Regiony odpowiadają określonym obszarom w różnych obszarach świata, a strefy to kilka wydzielonych serwerowni w ramach jednego regionu. Dane mogą być swobodnie i bezpiecznie kopiowane między regionami, co zasadniczo zapewnia wysoki poziom bezpieczeństwa i dostępności. Ważne jest tutaj, aby podmiot korzystający z dostawcy zewnętrznego takiej usługi upewnił się, czy Procesor będzie podpowierzał przetwarzanie danych innemu podmiotowi, oraz czy będzie to podmiot działający w ramach EOG.

 

Przepisy dotyczące ochrony danych osobowych wiele wymagań opisuje ogólnikowo i to od nas zależy, jak bardzo dane te zabezpieczymy. Nadrzędnym celem jest ochrona danych. Co do zasady można przyjąć, iż dane w chmurze będą bezpieczniejsze niż na zwykłych serwerach czy VPSach. Przypomnijmy, iż polskie prawo nie zabrania przetwarzania danych na terenie EOG (Europejski Obszar Gospodarczy). Nie ma zatem formalnych przeszkód, aby dane osobowe umieścić w chmurze, np. Amazona, w regionie zlokalizowanym na terenie Irlandii, czy Niemiec. Nie powinno być także problemu ze spełnieniem innego warunku, tj. posiadania wiedzy, gdzie dokładnie znajdują się dane osobowe – podpisując umowę z danym Hosterem możemy sobie zapewnić obowiązek przetwarzania danych przez Hostera na terenie EOG. Hosting baz danych zawierających dane osobowe nie jest regulowany odrębnymi przepisami i przekazywanie danych do Europejskiego Obszaru Gospodarczego obejmują te same przepisy. W myśl polskiego prawa, państwa obszaru EOG nie są traktowane jako państwa trzecie, więc przepływ danych w ich obrębie jest traktowany tak samo. jak transfer danych na terytorium Polski. Przy czym EOG to Państwa Unii Europejskiej oraz dodatkowo Islandia, Lichtenstein i Norwegia. Zważywszy jednak na położenie serwerowni głównych usługodawców chmurowych czy usług dedykowanych. w dużej mierze mieć będziemy do czynienia a krajami EU – Irlandia, Niemcy, Francja, Holandia
– w tych krajach znajdują się największe skupiska usługodawców, do jakich mogą powędrować nasze dane. Takie działanie wynika z wymogów członkostwa Polski w Unii, a celem Dyrektywy było zapewnienie odpowiednio wysokiego poziomu ochrony danych osobowych i swobodny przepływ danych wewnątrz terytorium Unii Europejskiej. Dzięki temu przekazywanie danych osobowych do państwa należącego do EOG podlega zasadom przetwarzania danych opisanych w ustawie o ochronie danych osobowych. Najważniejsze zasady potwierdzające zgodność przetwarzania danych z RODO to:

  1. Do przechowywania danych osobowych mogą być przechowywane wyłącznie ramach regionów należących do EOG. Decydując się na przekazanie choćby części swoich zasobów do chmury musimy zobowiązać dostawcę do przekazania pełnej informacji o wszystkich fizycznych lokalizacjach serwerów, na których przetwarzane są lub mogą być przetwarzane dane.
  2. Podstawą prawną przetwarzania danych musi być umowa zawarta pomiędzy Hosterem a danym podmiotem w sposób jasny potwierdzająca miejsce przetwarzani danych osobowych oraz umowa powierzenia, która określi odpowiedzialność dostawcy za sposób przetwarzania danych.
  3. Podmiot korzystający z takiego dostawcy powinien wiedzieć, w jaki sposób fizycznie chronione są serwery przez dostawcę usługi i gdzie zostały one zlokalizowane; dostawca powinien nam zapewnić, że dostęp do naszych danych mają jedynie zaufane osoby po potwierdzeniu swojej tożsamości. Istotne jest przy tym to, aby dostawca miał wdrożone odpowiednie procedury i zabezpieczenia na wypadek awarii, które pozwolą na uratowanie naszych danych; usługodawca
    powinien nam zapewnić monitorowanie dysków serwerów na wypadek awarii oraz utworzenie sum
    kontrolnych i kopi zapasowych naszych danych; kopie naszych danych powinny znajdować się fizycznie na innych maszynach, najlepiej w innej lokalizacji, tak aby w przypadku awarii nie utracono kopii.
  4. Dostarczyciel usługi chmurowej powinien umożliwić nam pełny dostęp do dokumentacji dotyczącej zasad bezpieczeństwa oraz środków technicznych przyjmowanych w poszczególnych centrach przetwarzania danych; dostawca usługi chmurowej musi przekazać nam pełną informację dotyczącą podwykonawców i instytucji współpracujących, które mają udział w realizacji usługi chmurowej. Dostawca usługi chmurowej nie może decydować o celach i sposobach przetwarzania danych administratora danych.
  5. Dostawca usługi chmurowej powinien być zobowiązany do raportowania o wszystkich incydenty
    bezpieczeństwa danych; należy ustalić jakie wyłączenia lub ograniczenia odpowiedzialności dostarczyciela usługi mogą być zastosowane przy realizacji usługi

 

Część druga artykułu zostanie przedstawiona w ramach kolejnego wpisu.

 

Przygotował

Arkadiusz Kraus

A2KP KANCELARIA Sp. z o.o.