Geolokalizacja pracowników (2)
Geolokalizacja pracowników (2)
Zabezpieczenia organizacyjne i techniczne
Niezależnie od zabezpieczeń technicznych i prawnych warto zadbać o bezpieczeństwo przetwarzanych danych osobowych w ramach geolokalizacji w kontekście zabezpieczeń organizacyjnych. Warto pamiętać o następujących możliwościach:
- Wszystkie urządzenia powinny być zabezpieczone hasłem lub kodem. Szyfrujemy pliki i dyski.. WiFi zabezpieczone hasłem z ograniczonym dostępem po adresie sprzętowym MAC oraz Ethernet. Pracownicy korzystają z poczty firmowej zabezpieczonej hasłem.
- Hostingodawca powinien zabezpieczyć kopie zapasowe. Jeśli to możliwe, każdy serwer powinien być dedykowany innemu Klientowi.
- Stosowanie mechanizmu zapory ogniowej (firewall).
- Konteneryzacja i wirtualne sieci: aplikacja uruchomiona w kontenerach dzięki czemu odizolowana jest od systemu operacyjnego, na którym jest uruchomiona. Ewentualna podatność w aplikacji umożliwi dostęp jedynie do kontenera, w którym jest uruchomiona. Kontenery uruchamiane są w wirtualnych sieciach, które umożliwiają separację poszczególnych usług i klientów.
- Zapewnienie odporności na awarie: aplikacja uruchomiona w klastrze składającym się z co najmniej liku serwerów aplikacyjnych i kilku serwerów bazodanowych.
- Uruchamianie bazy danych na kilku osobnych serwerach, z czego przynajmniej jeden pełniłby funkcję serwera głównego, a pozostałe byłyby replikatorami powielającymi dane z serwera głównego.
- Stosowanie pseudonimizacji w ramach przetwarzania danych osobowych w chmurze, tzn. podmiot udostępniający przestrzeń w ramach „chmury” otrzymywałby jedynie dane osobowe w postaci „kodów”, które należałoby zestawić z innym dokumentem, aby zidentyfikować tożsamość osoby, której dane są przetwarzane w chmurze. Na serwerach Procesora mogłyby się znajdować dane pracowników w postaci ID/UUID lub innego sposobu identyfikacji. Szczegółowe dane pracowników przechowywane byłyby .na serwerze administratora. W momencie, gdy w programie lub aplikacji administrator chciałby zweryfikować tożsamość pracownika, Procesor wysyłałby zapytanie do serwera administratora z prośbą o odszyfrowanie danego ID/UUID, a wówczas dane byłyby wyświetlane, ale wyłącznie w trybie „do odczytu” - nie byłyby one zapisywane. .
Identyfikacja źródeł ryzyka
Podczas stosowania geolokalizacji pracowników konieczne będzie prawidłowa i dogłębna identyfikacja wszystkich najważniejszych źródeł ryzyka w kontekście bezpieczeństwa danych osobowych. Zwracam uwagę na kilka najbardziej oczywistych:
- Duża ilość danych osobowych w jednym miejscu. Dodatkowo inteligentne urządzenie przenośne jest bardzo ściśle powiązane z konkretną osobą. Dostawcom usług geolokalizacyjnych umożliwia to zdobycie danych dotyczących nawyków i schematów postępowania właściciela takiego urządzenia oraz tworzenie obszernych, ale i bogatych w informację profili. Dane lokalizacyjne łączy się dodatkowo z danymi gromadzonymi przez czujniki, takie jak: żyroskop, kamery, mikrofony czy czujnik bliskości, uzyskując w ten sposób nowe wartości dodane. Kluczowe zagrożenia w zakresie ochrony danych osobowych dla użytkownika końcowego stanowić może zatem połączenie braku przejrzystości w zakresie kategorii i sposobu przetwarzania danych oraz świadomości w zakresie zagrożeń związanych z ich udostępnienia innym osobom lub podmiotom.
- Włączone na urządzeniu usługi zbierają informacje o aktywności pracownika, dzięki czemu administrator tych danych może uzyskać informacje o naszych nawykach.
- Brak świadomości użytkowników systemów lokalizujących osoby, których dane dotyczą (np. pracowników) przetwarzania ich danych osobowych w ramach wybranej usługi (w tym danych biometrycznych), a co za tym idzie nie wywiązywanie się przez użytkowników z obowiązków i ograniczeń w zakresie przetwarzania danych osobowych wynikających z RODO.
- Przyjęcie przez administratora błędnej przesłanki przetwarzania danych osobowych lub brak takiej przesłanki. Szczególnie istotne wydaje się to w odniesieniu do pracodawcy, zwłaszcza w sytuacji przetwarzania przez niego danych osobowych szczególnej kategorii (np. dane biometryczne). Pracodawcy mogą stosować tę technologię wyłącznie po wykazaniu, iż jest to niezbędne do osiągnięcia wyraźnie określonego celu, przy czym nie dla wszystkich celów pozyskiwanie takich danych jest konieczne. Przed uzyskaniem zgody pracodawca powinien zastanowić się, czy rzeczywiście istnieje konieczność i uzasadniony powód kontrolowania dokładnej lokalizacji pracowników, w świetle ich podstawowych praw i wolności, przy zachowaniu pełnej transparentności tego procesu (obowiązek informacyjny).
- Problematyczna wydaje się także kwestia zgody, jako podstawy prawnej do wykorzystywania przez pracodawcę danych geolakoalizacyjnych pracownika, w zakładanych celach (np. kontrola czasu pracy, ocena jakości pracy, czy kontrola bezpieczeństwa w miejscu pracy).
- Nieprawidłowe wywiązywanie się przez administratora z obowiązku informacyjnego określonego w art. 13 lub 14 RODO. Każdy administrator danych musi należycie informować osoby, których dane są przetwarzane o kluczowych elementach przetwarzania danych zgodnie, a przede wszystkim o celu zbierania danych, podstawach prawnych przetwarzania, prawie dostępu do treści swoich danych oraz ich poprawiania a także o możliwości cofnięcia zgody, udostępnianiu danych innym podmiotom, a także o tym, kto jest prawnie odpowiedzialny za przetwarzanie ich danych osobowych oraz jak uzyskać kontakt z administratorem. W innym przypadku nie mogą oni wykonywać swoich praw, takich jak prawo dostępu do danych (zdalnie) przechowywanych na ich temat. W związku z tym administrator danych obowiązany jest przekazać tej osobie informacje o adresie siedziby i pełnej nazwie a w przypadku, gdy administratorem danych jest osoba fizyczna – o miejscu swojego zamieszkania oraz imieniu i nazwisku. Obowiązek ten powinien zostać spełniony przed rozpoczęciem gromadzenia danych. UWAGA! Grupa Art 29 w opinii 13/2011 w odniesieniu do sposobu wykonywania obowiązku informacyjnego w przypadku usług geolokalizacji zaleca ponadto, aby użytkownik urządzenia lub aplikacji, które mają włączoną funkcję lokalizacji był o tym fakcie informowany w sposób ciągły poprzez wyświetlanie stosownej ikony.
- Brak świadomości po stronie użytkowników takiego systemu, że jeżeli zamierzają oni wyznaczać lokalizację urządzenia więcej niż raz, muszą informować o tym swoich klientów tak długo, jak długo czynność ta jest wykonywana. Muszą również umożliwić swoim klientom podtrzymanie lub wycofanie wyrażonej zgody w możliwie prosty sposób.\
- Nie stosowanie przez administratorów prawidłowych okresów retencji danych zgodnie z zasadą „ograniczonego przechowywania” danych osobowych.
- Nie stosowanie się użytkowników urządzeń geolokalizujących do zasady, wmyśl której, jeżeli twórca systemu operacyjnego (dostawca) lub administrator infrastruktury geolokalizacji (pracodawca) przetwarza niepowtarzalny numer, taki jak np. adres MAC lub identyfikator UDID w odniesieniu do danych dotyczących lokalizacji, niepowtarzalny numer identyfikacyjny może być przechowywany wyłącznie do celów operacyjnych przez maksymalnie krótki okres czasu.
- Brak świadomości, iż pracodawca nie ma prawa do naruszania prywatności pracownika w miejscu pracy bez poważnego powodu związanego z charakterem jego pracy.
Ocena skutków przetwarzania oraz testy równowagi.
Zgodnie z art. 35 ust. 1 RODO „jeżeli dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych. Dla podobnych operacji przetwarzania danych wiążących się z podobnym wysokim ryzykiem można przeprowadzić pojedynczą ocenę”. Celem Oceny Skutków dla Ochrony Danych jest opisanie wybranych procesów przetwarzania danych osobowych realizowanych przez Administratora oraz ocenienie ich konieczności i proporcjonalności, a także wspomożenie zarządzania analizą naruszenia praw i wolności osób fizycznych wynikającym z przetwarzania danych osobowych poprzez ocenę ryzyka i określenie środków pozwalającym zaradzić tym czynnikom ryzyka. Ocena skutków dla ochrony danych i analiza ryzyka przeprowadzana jest z uwzględnieniem elementów określonych w RODO (art. 35 ust. 7 oraz motywy 84 i 90). Przeprowadzenie DPIA jest obowiązkowe zawsze, gdy:
- Systematycznej, kompleksowej oceny czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco wpływających na osobę fizyczną;
- Przetwarzania na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, lub danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10; lub
- Systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie.
Niezależnie od tego Prezes UODO w swoim Komunikacie z dnia 17 czerwca 2019 roku W sprawie wykazu rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony przedstawił wykaz operacji przetwarzania, które w jego opinii, wymagają oceny skutków dla ochrony danych (wykaz ten został opracowany w ramach realizacji obowiązku nałożonego na Urząd Ochrony Danych Osobowych na podstawie art. 35 ust. 4 RODO. Pośród wskazanych przez organ nadzorczy przypadków przetwarzania danych znajdują się m.in. następujące procesy:
- Monitoring realizowany przez zakłady pracy systemów informatycznych poczty elektronicznej, używanego oprogramowania, kart dostępowych itp.),
- Przetwarzanie informacji pozyskiwanych przez Internet rzeczy (opaski medyczne, smartwatche itp.) oraz ich przesyłanie w sieci przy użyciu urządzeń mobilnych typu smartfon czy tablet,
- Systemy komunikujące się typu maszyna – maszyna, w których samochód informuje otoczenie o swoim zachowaniu (ruchu) i w przypadku pojawiającego się zagrożenia otrzymuje od tego otoczenia (infrastruktura drogowa, inne samochody) komunikaty ostrzegawcze, systemy wykorzystujące RFID w przypadku, gdy znaczniki/etykiety są lub mogą być przypisane osobom fizycznym
Wszystkie wskazane powyżej procesy odwołują się bardziej lub mniej do monitorowania lub lokalizowania osób, i to właśnie te zapisy w Komunikacie Prezesa UODO decydują o konieczności dokonania przez podmioty, użytkujące lub wdrażające systemy umożliwiające monitorowanie lub lokalizowanie osób, Oceny Skutków Ochrony dla Ochrony Danych (DPIA).
Wskazaliśmy powyżej, iż przetwarzanie danych osobowych na podstawie prawnie uzasadnionego interesu administratora (art. 6 ust. 1 lit. f RODO) – w tej sytuacji administrator przetwarza dane geolokalizacyjne z uwagi na istnienie ważnych, zgodnych z prawem interesów, które prowadzi, wymaga przeprowadzenie przez administratora testu równowagi. Przepisy wskazują bowiem, że powołanie się na prawnie uzasadniony interes nie jest możliwe w sytuacji, gdy nadrzędny charakter wobec interesów administratora mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą. Jeżeli analiza wykaże, że prawa i wolności osoby, której dane dotyczą, mają bardziej istotny charakter niż interes administratora, to nie jest możliwe oparcie przetwarzania danych na podstawie tej przesłanki. Sytuacje takie mogą wystąpić właśnie w przypadku geolokalizacji – np. gdyby administrator chciał chronić przed kradzieżą mienie o niskiej wartości, śledząc położenie wszystkich osób na terenie jakiegoś obszaru. Ostrożność należy zachować, szczególnie gdyby śledzone miały być dzieci.
Konkluzja
Wskazaliśmy powyżej, iż wykorzystywanie nowych technologii w celu kontrolowania aktywności pracowników, w tym stosowanie geolokalizacji, nie jest zjawiskiem nowym. Z pewnością jednak jest to aktywność szczególnego rodzaju, związana z szeroko rozumianym monitoringiem aktywności pracowników. Aktywność taka jest oczywiście prawnie dozwolona, jednak zarówno RODO, jak i inne powszechnie obowiązujące przepisy prawne, w szczególności Kodeks Pracy, stawiają przed podmiotem korzystającym z takiego rozwiązania cały szereg wymagań organizacyjno-prawnych. Celem niniejszego artykułu było wskazanie ram prawnych takiego rozwiązania oraz najważniejszych wyzwań, stojących przed podmiotem wdrażającym. Każdy administrator powinien przygotować takie wdrożenie, uwzględniając ograniczenia prawne, o których była mowa powyżej, oraz wymagania organizacyjne i techniczne, które są bezpośrednio związane z przetwarzaniem danych w ramach geolokalizacji pracowników. Jednym z kluczowych zagadnień będzie tutaj poprawna diagnoza dotycząca sposobu przetwarzania danych pracowników przez podmioty trzecie, w tym uwzględnienie mechanizmów ograniczających ryzyko naruszenia praw i wolności osób, których dane dotyczą, w szczególności pseudonimizacji. Ważne też będzie poprawne opisanie rodzajów przetwarzanych danych osobowych, z uwzględnieniem zasad określonych w art. 5 RODO, w tym zasady minimalizacji danych, ograniczonego celu przetwarzania oraz ograniczonego przechowywania.
Przygotował
Arkadiusz Kraus
A2KP KANCELARIA Sp. z o.o.