Jednym z obecnie bardziej powszechnych przejawów postępującej automatyzacji jest wykorzystywanie różnego rodzaju chatbotów i voicebotów. Coraz częściej znajdują one zastosowanie także jako narzędzie interakcji pomiędzy pracodawcą a pracownikami, pomagając pracodawcom w realizacji obowiązków względem pracowników, np. stanowiąc narzędzie do udzielania informacji o procedurach stosowanych przez pracodawcę lub sposobach wykonywania określonych czynności czy też pomagając w zarządzaniu zatrudnieniem, np. jako narzędzie służące do kontaktów w podstawowych kwestiach HR.

Istotną cechą działania tego rodzaju rozwiązań jest fakt, że wchodząc w interakcje z pracownikami zbierają i przetwarzają udostępniane przez pracowników informacje. Informacje te mogą obejmować, w zależności od sposobu i celu działania danego bota: informacje wpisywane / wypowiadane przez pracownika (np. pytania czy komunikaty), dane dotyczące czasu interakcji, czy też dane techniczne, np. dotyczące wykorzystywanego przez pracownika urządzenia. Co ważne, informacje, o których mowa powyżej, będą stanowić dane osobowe pracowników, które będą przetwarzane przez pracodawcę działającego, co do zasady, jako administrator tych danych.

W niniejszym artykule zarysujemy wybrane implikacje prawne związane z korzystaniem przez pracodawców z tego rodzaju rozwiązań wynikające z przepisów o ochronie danych osobowych w zakresie, w którym dotyczą danych osobowych pracowników.

Podstawa przetwarzania danych osobowych

Każde przetwarzanie danych osobowych, aby było legalne musi być prowadzone w oparciu o jedną z podstaw przetwarzania danych wskazanych w art. 6 ust. 1 RODO (w przypadku danych „zwykłych”) lub, w przypadku danych tzw. szczególnych kategorii (np. o zdrowiu), art. 9 ust. 2 RODO. Nie inaczej jest w przypadku danych osobowych pracowników, które będą przetwarzane przez pracodawcę w związku z działaniem voicebotów lub chatbotów. Identyfikacja podstawy przetwarzania danych „zwykłych” nie powinno być trudna – najczęściej będzie to tzw. prawnie uzasadniony interes. W przypadku oparcia przetwarzania na tej podstawie, wskazane jest przeprowadzenie i udokumentowanie przez pracodawcę, w szczególności na wypadek kontroli, tzw. „testu równowagi”, który będzie przedstawiał uzasadnienie czemu pracodawca uważa, że może prowadzić przetwarzanie na ww. podstawie.

W przypadku danych szczególnych kategorii, np. danych o zdrowiu, określenie podstawy przetwarzania może być trudniejsze. Niemniej, o ile przetwarzanie będzie prowadzone w zgodzie z odpowiednimi wymogami prawa pracy np. w celu realizacji przez pracodawcę uprawnień pracownika wynikających z przepisów prawa pracy, identyfikacja odpowiedniej podstawy powinna być, co do zasady, możliwa.

Co istotne, aby działanie botów można było uznać za legalne i posiadające odpowiednią podstawę, cel działania botów musi mieścić się w zakresie dozwolonych celów działania pracodawcy w stosunku do pracownika. Innymi słowy, cele działania botów muszą być wyznaczone w taki sposób, by były zgodne z przepisami Kodeksu Pracy.

Minimalizacja danych

Jedną z podstawowych zasad wynikających z RODO jest tzw. zasada minimalizacji, która stanowi, że każde przetwarzanie danych osobowych powinno być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których dane są przetwarzane.

Zasada minimalizacji powinna być uwzględniona przy wdrażaniu rozwiązań typu voiceboty i chatbot. Boty powinny być zaprojektowane i działać w taki sposób, że zakres i sposób przetwarzania danych osobowych pracowników z wykorzystaniem botów będzie ograniczony do tego co niezbędne z punktu widzenia celów działania botów. Jednocześnie, cele działania botów muszą mieścić się w celach przetwarzania danych pracowników, które są dozwolone dla pracodawcy w świetle Kodeksu Pracy.

Zasada minimalizacji może być realizowana, w szczególności, w taki sposób, że określone wprowadzane przez pracownika dane nieistotne z punktu widzenia celu działania bota nie będą przez bota przechowywane lub będą niezwłocznie usuwane.

Obowiązek informacyjny

Pracodawca jako administrator danych pracowników zobowiązany jest zapewnić pracownikom informację o przetwarzaniu ich danych osobowych spełniającą wymogi art. 13 i 14 RODO. Fakt przetwarzania danych osobowych przez voiceboty i chatboty powinien być odpowiednio uwzględniony w klauzulach informacyjnych (politykach prywatności, etc.) dotyczących przetwarzania danych osobowych udostępnianych pracownikom przez pracodawcę.

Wskazane jest również udostępnienie tzw. „pierwszej warstwy” klauzuli informacyjnej (obejmującej informacje o administratorze danych, celach przetwarzania oraz prawach pracowników wynikających z RODO) w taki sposób by była dostępna dla pracownika w momencie interakcji z danym botem (np. aby była widoczna obok interfejsu służącego do wymieniania wiadomości tekstowych z chatbotem).

Bezpieczeństwo przetwarzania

Z uwagi na wynikające z RODO obowiązki w zakresie zapewnienia odpowiedniego poziomu bezpieczeństwa przetwarzania danych osobowych, pracodawca powinien wdrożyć w odniesieniu do voicebotów i chatbotów, odpowiednie środki organizacyjne i techniczne ochrony danych. Środki te powinny zostać, stosownie do art. 32 ust. 1 RODO, określone przez pracodawcę z uwzględnieniem stanu wiedzy technicznej, kosztu wdrażania oraz charakteru, zakresu, kontekstu i celu przetwarzania oraz ryzyk naruszenia praw lub wolności pracowników o różnym prawdopodobieństwie wystąpienia i wadze, w taki sposób, aby zapewnić stopień bezpieczeństwa odpowiadający zidentyfikowanym ryzykom.

Rekomendowane jest, by pracodawca w tym zakresie przeprowadził i udokumentował analizę ryzyka dla ochrony danych, która będzie uzasadniała, że zastosowane środki ochrony danych odpowiadają wymogom art. 32 ust. 1 RODO.

Udział podmiotów zewnętrznych

W praktyce rozwiązania typu voiceboty i chatboty dostarczane są często przez zewnętrznych dostawców. Dostawcy ci, w mniejszym lub większym zakresie, najczęściej mają dostęp do danych przetwarzanych przez dostarczane przez siebie rozwiązania, np. w celu świadczenia usług utrzymania.

W przypadku, w którym dostawcy będą mieć dostęp do danych osobowych przetwarzanych przez dostarczane przez siebie rozwiązania, konieczne jest by pracodawca (jako administrator danych): (i) zweryfikował, czy dostawca zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą (np. za pośrednictwem ankiety) oraz (ii) zawarł z dostawcą (jako tzw. podmiotem przetwarzającym) umowę powierzenia przetwarzania danych spełniającą wymogi art. 28 RODO.

Pracodawca powinien także upewnić się, że rozwiązanie dostarczane przez podmiot zewnętrzny jest zgodne z przepisami dotyczącymi ochrony danych osobowych np. że nie żąda podania od pracowników danych osobowych, których pracodawca przetwarzać nie powinien (samo zaangażowanie zewnętrznego dostawcy nie zwalnia bowiem pracodawcy – administratora danych z odpowiedzialności na gruncie RODO).

DPIA

Zgodnie z RODO, jeżeli dany rodzaj przetwarzania - w szczególności z użyciem nowych technologii - ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych (tzw. DPIA).

Wskazane jest, by pracodawca przez wdrożeniem rozwiązań wykorzystujących voiceboty lub chatboty, dokonał i udokumentował analizę, czy przetwarzanie danych, które będzie prowadzone z wykorzystaniem takich rozwiązań wymaga przeprowadzenia DPIA. Jeśli tak, pracodawca powinien dodatkowo wykonać i udokumentować DPIA oraz wdrożyć wynikające z DPIA zalecenia.

Zautomatyzowane podejmowanie decyzji

Wdrażając rozwiązania typu voiceboty lub chatbot należy dodatkowo rozważyć jakie mogą być automatyczne skutki działania tych rozwiązań dla pracownika. Stosowanie voicebotów i chatbotów nie powinno, zasadniczo, prowadzić do tego, że wobec pracownika podejmowane byłyby z ich wykorzystaniem decyzje, która opierają się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołują wobec niego skutki prawne lub w podobny sposób istotnie na niego wpływają (np. poprzez automatyczne udzielenie kary dyscyplinarnej w przypadku takiej rekomendacji dokonanej przez bota).

Monitoring pracowników

Dane pozyskiwane przez voiceboty i chatboty pracodawca może chcieć potencjalnie wykorzystywać do prowadzenia przez pracodawców tzw. innych form monitoringu pracowników w rozumieniu art. 22 z ind. 3 par. 4 Kodeksu Pracy (i to zarówno w przypadku monitorowania treści komunikatów przesyłanych przez pracowników jak i metadanych). Jeśli pracodawca chciałby wykorzystywać dane pozyskiwane przez voiceboty i chatboty w tym celu, konieczne jest by odpowiednio dodatkowo uregulował tę kwestię w wewnętrznych dokumentach dotyczących monitoringu pracowników.

***

Jak widać, wykorzystywanie stosunkowo niepozornych narzędzi jakimi są voiceboty i chatboty wiązać się może z szeregiem implikacji prawnych. Wdrażanie tego rodzaju rozwiązań warto zatem poprzedzić analizą w celu identyfikacji ewentualnych wymogów prawnych, które powinny być spełnione przed ich wdrożeniem, w szczególności, jeśli zakładane jest, że będą one przetwarzać dużą liczbę danych lub dane „wrażliwe”.

Karolina Romanowska

Łukasz Rutkowski