+380442055410 a@legalitgroup.com м. Київ, вул. Володимирська, 38, оф. 1
GDPR та персональні дані

Моніторинг працівників: про що слід пам’ятати роботодавцю

Ефективність роботи бізнесу – не лише правильно налаштовані бізнес-процеси, але й контроль персоналу. Сьогодні роботодавці використовують безліч засобів, що дозволяють спостерігати за роботою працівників – відеоспостереження в офісних приміщеннях (CCTV), GPS, контроль трафіку тощо. Разом з цим, стрімка еволюція віддаленої роботи за останні декілька років кардинально змінила уявлення про робочий ритм і побудову робочих процесів. З необхідного заходу, обумовленого пандемією, home office перетворився на нову норму й одночасно пошук балансу між роботою та особистим життям. Для бізнесу цей процес став додатковим каталізатором до застосування нових методів контролю працівників, зокрема, через програмну продукцію, що відслідковує ефективність використання робочого часу на комп’ютері. Тож постає цілком логічне питання: що має знати роботодавець про використання засобів моніторингу персоналу, аби не порушувати вимог законодавства про захист персональних даних? Спробуємо розібратись.

Обґрунтовуємо необхідність моніторингу 

General Data Protection Regulation, або Загальний регламент про захист даних, не забороняє здійснювати заходи спостереження за працівниками на робочих місцях, але вимагає від роботодавця дотримуватись спеціальних правил для того, щоб гарантувати захист прав та свобод працівників при обробці їх персональних даних. Розробка таких правил віднесена до компетенції держав-членів ЄС, а також відповідні норми можуть встановлюватись на рівні колективних договорів. 

Обробка даних, отриманих за допомогою моніторингового програмного забезпечення, як зазначає європейський наглядовий орган (WP29), має відбуватись лише за умови, що вона необхідна для досягнення законної мети й відповідає принципам справедливості, пропорційності та субсидіарності. Іншими словами, доступність для роботодавця опції моніторингу не означає, що цей засіб має першочергово використовуватись для досягнення цілей, які він ставить перед собою: якщо таких цілей можливо досягти за допомогою засобів, що меншою мірою впливають на інтереси працівника, то здійснення моніторингу може бути визнано незаконним. Отже, рішення про моніторинг працівників має бути прийняте з урахуванням балансу між інтересами роботодавця та правами і свободами працівників щодо їх особистих даних (наприклад, проведення процедури legitimate interest assessment або data protection impact assessment залежно від обраної правової підстави, мети моніторингу, обсягу інформації, що обробляється та ін. факторів).

Обираємо належну правову підставу обробки

Роботодавець, який гадає, що зможе здійснювати моніторинг працівників на підставі їхньої згоди, має пам’ятати про низку законодавчих вимог до використання згоди як належної правової підстави для обробки персональних даних. 

Як контролер персональних даних, роботодавець зобов’язаний дотримати вимог до згоди, наведених у ст. 4(11) GDPR, а також забезпечити, щоб отримана згода відповідала додатковим умовам, встановленим ст. 7 GDPR. 

При цьому, слід пам’ятати, що в трудових відносинах має місце явна нерівність статусу роботодавця і працівника, адже останній є залежним, що обумовлює неможливість надання згоди, яка відповідатиме необхідним критеріям. Відтак, згоду як правову підставу для обробки персональних даних в трудових відносинах можливо використовувати лише для випадків, де відмова працівника не зможе спричинити для нього несприятливих наслідків, і він матиме «справжній вибір» між наданням чи відмовою надати згоду. Очевидно, що в питаннях відмови від участі в системі автоматизованого моніторингу робочого часу чи відеоспостереження в офісі працівник позбавлений можливості вільно висловити свої бажання. Тож для здійснення моніторингу працівників роботодавцю слід застосовувати іншу правову підставу.

Вибір правової підстави залежить від конкретної мети та контексту моніторингу: в одному випадку належною підставою може бути виконання законного зобов’язання (Art. 6(1)(c) GDPR), в іншому – легітимний інтерес (Art. 6(1)(f) GDPR) тощо.

Прозорість як обов’язкова умова

Прозорість – один з основоположних принципів законодавства про захист персональних даних. Для роботодавця він означає обов’язок дати працівникам чітке розуміння, як і чому обробляється інформація про них, що нерозривно пов’язано з дотриманням іншого принципу – справедливості. Моніторинг, який проводиться непрозоро, є несправедливим, а відтак – незаконним. Отже, працівники мають обов’язково отримати в доступній та зрозумілій формі вичерпну інформацію про будь-який здійснюваний щодо них моніторинг до початку його проведення: яка саме інформація збирається, з якою метою та у який спосіб, скільки отримані дані зберігаються тощо. Виняток становлять випадки, коли моніторинг проводиться приховано з метою попередження незаконної діяльності, виявлення шахрайських дій працівників тощо. 

Показовим прикладом визнання незаконними дій роботодавця щодо моніторингу працівника є справа Bărbulescu v. Romania, в якій Європейський суд з прав людини (The European court for human rights, ECHR), визнаючи порушення прав працівника, вказав, що національні суди не встановили: 1) чи отримав заявник попереднє повідомлення від свого роботодавця про можливість моніторингу його комунікацій; 2) чи був він поінформований про характер або обсяг моніторингу, а також про ступінь втручання в його приватне життя і кореспонденцію; 3) конкретні причини, що виправдовують введення заходів моніторингу, а також чи міг роботодавець використовувати заходи, що передбачають менше втручання в приватне життя і кореспонденцію заявника та чи міг бути отриманий доступ до комунікацій без відома заявника.

Крім цього, варто зазначити, що інформація, зібрана під час моніторингу, повинна бути доступною для працівників, якщо вони подадуть запит на отримання доступу до інформації (DSAR), окрім винятків. Тож роботодавцю слід заздалегідь врахувати, що інколи програмне забезпечення або обладнання, яке збирає великі обсяги даних (записи камер відеоспостереження), можуть не зберігати інформацію таким чином, що персональні дані відносно конкретної людини можна легко і швидко знайти. Відтак, роботодавцю слід подбати про план дій на випадок отримання DSAR і визначити дії, необхідні для підготовки відповіді на нього з урахуванням особливостей використовуваного програмного забезпечення/обладнання.

Приміром, італійський наглядовий орган оштрафував компанію Stay Over s.r.l. на 10 000 євро за результатами розгляду скарги колишнього працівника, якому компанія не надала своєчасної відповіді на запит про доступ до персональних даних. Крім того, компанія продовжувала обробляти дані з поштової скриньки працівника після припинення трудових відносин без його згоди.

Іншим прикладом покарання роботодавця за незаконну обробку персональних даних працівників є рішення норвезького наглядового органу, якому поскаржився колишній працівник компанії. Після його звільнення роботодавець автоматично пересилав як робочі, так і приватні електронні листи з поштової скриньки колишнього працівника на електронну адресу, яку адміністрував керуючий директор. Під час розслідування наглядовий орган з’ясував, що контролер автоматично пересилав електронну пошту без належних правових підстав. Крім того, контролер не поінформував колишнього працівника про обробку даних шляхом пересилання електронних листів, всупереч своєму зобов’язанню, передбаченому ст. 13 GDPR, та встановив, що контролер не виконав належним чином запит на заперечення проти обробки, поданий колишнім працівником.

Ретельно визначаємо провайдера сервісу

Використання моніторингового програмного забезпечення або камер відеоспостереження може передбачати залучення компанії, яка надає відповідний сервіс та обробляє зібрані дані. Оскільки роботодавець є контролером персональних даних у трудових відносинах, йому слід мати на увазі, що залучена ним компанія-провайдер виступає процесором даних і має відповідати всім вимогам GDPR. При цьому, відповідальність і за відповідність компанії-провайдера необхідним критеріям, і за власне належну обробку отриманих нею персональних даних покладається саме на роботодавця. Отже, до початку співпраці роботодавцю слід ретельно перевірити такого контрагента й оцінити його компетентність щодо обробки персональних даних відповідно до вимог GDPR, за необхідності визначивши в договорі обов’язкові заходи, яких він має вжити при виконанні зобов’язань з обробки даних. Також слід з’ясувати, чи буде мати місце транскордонна передача даних (в країни, що знаходяться поза межами ЄС) і якщо відносно такої країни не прийнято adequacy decision – подбати про необхідні гарантії захисту інформації. 

The invisible eye

Програмне забезпечення для моніторингу дозволяє здійснювати перегляд робочого столу працівника в режимі реального часу, може робити періодичні знімки екрану, відслідковувати час роботи, кількість та зміст надрукованих сторінок тексту, частоту кліків мишкою, аналізувати вхідний/вихідний трафік, а іноді й спостерігати за працівником через вебкамеру. Програмні засоби здатні оцінювати продуктивність персоналу на основі зібраних даних, формувати рейтинговий список працівників, що може впливати на рівень оплати праці та інші аспекти трудових відносин. Зручний інструмент для бізнесу? Безумовно. Але роботодавець має бути готовим до заперечень працівників, адже GDPR забороняє ухвалювати автоматизовані рішення, якщо вони суттєвим чином впливають на права та інтереси суб’єктів персональних даних. Тож якщо, наприклад, виплата бонусів чи застосування заходів відповідальності відбуваються виключно на основі даних рейтингу чи оцінки продуктивності, сформованих програмним забезпеченням (automated decision making), тобто без участі людини, працівник вправі оскаржити таке рішення й вимагати його перегляду із залученням інших працівників. Це лише один бік медалі.

Інший бік медалі – це ризик порушити права працівника. Європейський суд з прав людини послідовно дотримується позиції, що відеоспостереження за працівником на робочому місці, незалежно від того, приховане воно чи ні, а також перехоплення змісту розмов працівника на робочому телефоні є втручанням у розумінні статті 8 Європейської конвенції про захист прав людини і основоположних свобод.

Наприклад, у справах Halford v. the United Kingdom, Copland v. the United Kingdom Європейський суд з прав людини постановив, що розмови, які заявники вели на своїх робочих телефонах, підпадають під дію понять “приватне життя” та “кореспонденція”, а телефонні дзвінки з офісних приміщень телефонні дзвінки з офісу prima facie охоплюються поняттями “приватне життя” та “кореспонденція”. Звідси логічно випливає, що електронні листи, надіслані з роботи, повинні бути так само захищені, як і інформація, отримана в результаті моніторингу особистого користування Інтернетом. Збір і зберігання особистої інформації, пов’язаної з використанням працівником телефону, електронної пошти та Інтернету, без його відома, становить втручання в його право на повагу до приватного життя і кореспонденції.

Спеціальні категорії даних

В ході здійснення моніторингу роботодавець може випадково отримати доступ до спеціальних категорій персональних даних працівників. Наприклад, програмне забезпечення, яке довільно вмикає вебкамеру та робить знімки з метою перевірки працівника за роботою, може відзняти дані, що стосуються його особистого життя, зокрема, й ті, опрацювання яких відповідно ст. 9(1) GDPR заборонено. Або ж під час аналізу трафіку до зібраних даних потрапить електронний лист з медичного закладу, який містить відомості про стан здоров’я працівника. Щоб подібні випадки не стали прикрою помилкою, яка призведе до штрафних санкцій, роботодавець:

  1. повинен бути спроможним документально підтвердити, що мета моніторингу переважає ризик ненавмисного збору спеціальних категорій персональних даних і ним вжито заходів, які гарантуватимуть дотримання інтересів працівника;
  2. максимально обмежити обсяг та категорії даних, які збираються, щоб не порушувати принципу мінімізації даних (Art. 5(1)(c) GDPR) і збирати рівно стільки інформації, скільки необхідно для досягнення поставленої мети, яка має бути задокументована;
  3. не використовувати отримані дані з іншою метою (наприклад, не залучати отримані в ході спостереження відомості про вебресурси, які відвідує працівник протягом робочого дня, до даних для performance review тощо);
  4. не зберігати отримані відомості довше, ніж потрібно для досягнення задокументованої мети;
  5. у разі, якщо національним законодавством (наприклад, у Німеччині) передбачено необхідність погоджувати такі заходи з профспілковим органом – отримати дозвіл останнього.

Нещодавно голландський суд визнав, що вимога роботодавця тримати веб-камеру ввімкненою протягом усього робочого часу не є обґрунтованою. Працівник посилався на те, що він надає постійний доступ до свого робочого столу для надання можливості відслідковувати свою роботу, а вимога не вимикати веб-камеру не передбачена в його контракті. Крім цього, ввімкнена камера змушує його почуватися некомфортно. Суд постановив, що заперечення працівника з міркувань приватності є обґрунтованими. 

В цьому контексті європейський наглядовий орган (EDPB) постійно наголошує у своїх роз’ясненнях, що у випадках, коли будь-який тип обробки, зокрема, з використанням новітніх технологій, і з урахуванням характеру, обсягу, контексту та цілей обробки, може призвести до високого ризику для прав і свобод фізичних осіб, контролер даних повинен провести оцінку впливу на захист даних (DPIA). Якщо ж роботодавець видає працівникам для роботи електронні пристрої, він має обирати найбільш безпечні для конфіденційності рішення, якщо йдеться про технології відслідковування, а знову-таки пам’ятати про принцип мінімізації даних: збирати лише ті дані, які необхідні для досягнення його мети. 

Яскравим прикладом порушення цих настанов є рішення наглядового органу Італії від 01.12.2022 р. у справі за скаргою профспілки FEDIRETS. Остання поскаржилась на незаконний збір даних щодо працівників юридичного відділу адміністрації Регіону Лаціо, а саме –метаданих, пов’язаних з використанням облікових записів службової електронної пошти працівників. Оскільки останні були отримані адміністративним органом заздалегідь до проведення спеціальної перевірки, і зберігались протягом 180 днів, останній мав доступ до інформації, яка стосується приватного життя працівників – їх контактів та інших відомостей, не пов’язаних з роботою. Наглядовий орган встановив, що Регіон Лаціо обробляв персональні дані без законної підстави, з порушенням галузевих правил дистанційного спостереження за співробітниками та застосував штраф в розмірі 100 тис. євро.

CCTV

Відеозапис або зображення особи, що отримані за допомогою систем відеоспостереження, і можуть бути використані для ідентифікації цієї особи (прямо чи опосередковано), вважаються персональними даними, а відтак – регулюються GDPR.

Наприклад, у червні 2021 року Державний уповноважений із захисту даних Нижньої Саксонії наклав штраф у розмірі 10,4 млн. євро на компанію notebooksbilliger.de AG, яка щонайменше два роки здійснювала відеоспостереження за своїми працівниками без жодних правових підстав, розмістивши камери в приміщеннях торгових залів, складів та зонах загального користування.

Наглядові органи різних країн висловлюють в цілому одностайну позицію: хоча роботодавці можуть мати у певних випадках законні підстави для встановлення камер відеоспостереження в офісних приміщеннях, працівники також мають законні очікування, що їхнє приватне життя не буде піддаватися непропорційному втручанню. Тож там, де це можливо, камери повинні бути зосереджені на зонах особливого ризику, наприклад, на касових пунктах або в місцях, де спостереження з боку людини ускладнене. Слід уникати відеоспостереження в місцях, де працівники мають підвищені очікування щодо приватності, наприклад, у кімнатах відпочинку, роздягальнях, вбиральнях. Працівники повинні бути чітко повідомлені про те, що ведеться спостереження за допомогою камер відеоспостереження, а також проінформовані про те, де і з якою метою воно ведеться. Якщо використання CCTV було виправдано для конкретної мети, наприклад, безпеки або охорони здоров’я, воно не повинно використовуватися з іншою метою, наприклад, для моніторингу відвідуваності або продуктивності персоналу. 

Роботодавець, який використовує системи відеоспостереження, є контролером відповідних даних, і зобов’язаний впровадити організаційні та технічні заходи для захисту всіх компонентів системи відеоспостереження: задокументувати мету та обсяг відеоспостереження, відповідальних за управління та експлуатацію системи, визначити період зберігання відеозаписів, у кого є доступ до них та з якою метою тощо. 

Отже, законність використання відеоспостереження в офісних приміщеннях залежить від виконання роботодавцем низки заходів, починаючи від проведення в низці випадків оцінки впливу на захист даних (DPIA) відповідно до ст. 35 GDPR, правильного документального оформлення і закінчуючи безліччю технічних аспектів. 

Висновок

Потреба в інструментах для контролю за роботою працівників (в тому числі дистанційною) постійно зростає, і компанії активно впроваджують програмне забезпечення для моніторингу працівників. Використання різних способів контролю потребує вжиття низки заходів, які дозволять обробляти отримувані дані з урахуванням вимог GDPR та національного законодавства й уникнути штрафних санкцій, а фахівці Legal IT Group допоможуть у цьому. 

2023-03-21

GDPR compliance

GDPR compliance

Анастасія Полтавцева

Анастасія Полтавцева

IT юристка в Legal IT Group

    Твоє запитання ІТ юристам


    Отримуй сповіщення про нові статті :)