Śledzenie pojazdów przez pracodawcę – przewodnik prawny i lista kontrolna

Podczas gdy śledzenie pojazdów przez pracodawcę jest koniecznym aspektem współczesnego biznesu, może ono mieć znaczne konsekwencje dla prywatności pracowników.

Każdy pracownik ma prawo do prywatności, niezależnie od tego, czy pracuje w organizacji publicznej, czy w prywatnym środowisku pracy. Artykuł 8 Europejskiej Konwencji Praw Człowieka ustanawia prawo pracowników do rozsądnego oczekiwania na prywatność w miejscu pracy. Jest to prawo potwierdzone przez Europejski Trybunał Praw Człowieka oraz inne regionalne i międzynarodowe traktaty dotyczące praw człowieka.

Te prawa nakładają na pracodawców obowiązek unikania nadużywania systemów śledzenia w pojazdach firmowych. Nieuzasadnione użycie takich systemów narusza prywatność i prawa pracowników do ochrony danych. Zgodnie z Ogólnym Rozporządzeniem o Ochronie Danych (GDPR) i Ustawą o Ochronie Danych z 2018 roku, dane lokalizacyjne kwalifikują się jako dane osobowe, gdy dotyczą one konkretnej osoby.

Pracodawcy powinni pamiętać, że korzystając z systemu śledzenia pojazdów, nie tylko zbierają dane o pojeździe, ale także monitorują zachowanie pracownika. W związku z tym, ważne jest zrozumienie, co jest dozwolone, a jakie działania mogą być nielegalne podczas korzystania z systemów śledzenia pojazdów.

Ten przewodnik wyjaśnia przepisy dotyczące śledzenia pojazdów przez pracodawców i zawiera listę kontrolną działań, które pracodawcy mogą wykorzystać, aby określić, co jest zgodne z prawem.

Przepisy regulujące śledzenie pojazdów

Istnieją prawne podstawy do wdrażania systemów śledzenia pojazdów, które pracodawcy muszą przestrzegać. Prawdziwe interesy pracodawców w przetwarzaniu danych osobowych w celu rozwoju relacji pracowniczych i działalności biznesowej mają uzasadnione ograniczenia w zakresie prywatności osób w miejscu pracy.

Jednak zasady ochrony danych wymagają przejrzystości, uczciwego i legalnego przetwarzania danych oraz nakładają obowiązek, aby każde naruszenie prywatności pracownika było sprawiedliwe i proporcjonalne.

Zgodnie z wytycznymi dotyczącymi podstaw prawnych przetwarzania danych osobowych, artykuł 4(11) GDPR mówi o trudnościach w uzyskaniu 'dobrowolnie wyrażonej’ zgody ze względu na charakter i nierówność sił w relacji między pracownikiem a pracodawcą. Należy zauważyć, że zgoda może być w każdej chwili cofnięta przez pracownika i nie powinna mieć dla niego negatywnych konsekwencji.

Pracodawcy muszą zidentyfikować podstawę prawną i zapewnić, że przetwarzanie danych pracowników jest zgodne z artykułem 5 GDPR. Obejmuje to: legalność, rzetelność i przejrzystość, ograniczenie celu, minimalizację danych, dokładność, ograniczenie przechowywania, integralność i poufność oraz odpowiedzialność.

Artykuł 6 GDPR mówi, że przetwarzanie danych osobowych powinno odbywać się na podstawie prawnej, która obejmuje: zgodę, umowę, obowiązek prawny, interes życiowy, zadanie publiczne lub uzasadniony interes. Artykuł 6(1)(f) GDPR jest podstawą prawną do przetwarzania danych lokalizacyjnych, które są konieczne do przetwarzania danych o lokalizacji pojazdu w kontekście interesu biznesowego.

Artykuł 21 GDPR daje pracownikowi prawo do sprzeciwu wobec przetwarzania danych dokonywanego w interesie biznesu. Dotyczy to również prawa do sprzeciwu wobec śledzenia pojazdów na tych samych podstawach.

Ograniczenie celu i minimalizacja danych

Pracodawcy muszą zapewnić, że ich przetwarzanie danych spełnia obowiązek ograniczenia celu i minimalizacji danych zgodnie z artykułem 5 GDPR. Specyficzny cel śledzenia pojazdów i zbierania danych osobowych powinien być określony przed wdrożeniem technologii umożliwiającej to. Dane zebrane nie powinny być wykorzystywane do innych celów niż te, dla których zostały zebrane.

Pierwotnym celem jest zapewnienie bezpieczeństwa w przypadku kradzieży pojazdu, ale monitorowanie i ocenianie zachowania pracownika jest niezgodne z pierwotnym celem. Zgodnie z zasadą konieczności i zasadą minimalizacji danych, pracodawcy powinni pamiętać, że śledzenie pojazdów nie powinno być przeprowadzane, jeśli cel może być osiągnięty w inny sposób.

Przejrzystość i prawo do informacji

Wdrożenie systemu śledzenia w pojazdach przez pracodawcę powinno być zgodne z zasadami przejrzystości wynikającymi z GDPR i zapewniać, że spełnia prawo pracownika do informacji. Pracownicy muszą być poinformowani o istnieniu urządzenia śledzącego w ich pojeździe. Powinni być poinformowani o jego działaniu i celach dotyczących ich danych.

Powinni wiedzieć o tworzonych zapisach, dlaczego są one konieczne, do czego są używane, jak długo będą przechowywane, kto ma do nich dostęp i w jakim celu. W żadnym wypadku pracownik nie powinien być pozostawiony w niepewności co do istnienia śledzenia lub celu jego wdrożenia. Powinni być powiadomieni i otrzymać jasne i zwięzłe informacje o rodzaju i celu śledzenia.

Artykuł 29 Working Party (WP29) zaleca, aby takie informacje były wyświetlane w każdym samochodzie w zasięgu wzroku kierowcy. Może to nie być obowiązkowe, ale z pewnością jest to dobra praktyka dla zgodności z wymogami przejrzystości. Pracodawcy powinni udostępnić kierowcom politykę dotyczącą korzystania z systemu śledzenia pojazdów.

Ocena skutków dla ochrony danych (DPIA)

DPIA jest przeprowadzana przez pracodawcę, gdy istnieje potrzeba monitorowania danych lokalizacyjnych pojazdów. Artykuł 35(1) GDPR stanowi, że DPIA powinna być przeprowadzana tylko wtedy, gdy przetwarzanie prawdopodobnie spowoduje wysokie ryzyko dla praw i wolności osób fizycznych.

Kiedy DPIA jest potrzebna?

Europejska Rada Ochrony Danych, po zastąpieniu Artykuł 29 Working Party, zatwierdziła wytyczne pokazujące przetwarzanie, które prawdopodobnie spowoduje wysokie ryzyko dla GDPR. Obejmują one:

Ocena i scoring
Systematyczne monitorowanie
Wrażliwe dane osobowe
Innowacje i technologie
Dane dotyczące wrażliwych podmiotów danych

Jak przeprowadzić DPIA?

DPIA powinna być w stanie zidentyfikować ryzyka dla praw i wolności pracownika. DPIA powinna być przeprowadzona przed wdrożeniem polityki śledzenia w pojazdach i musi być utrzymywana w dokładnym i aktualnym stanie. DPIA powinny zawierać:

Opis operacji przetwarzania wraz z celem przetwarzania i interesem przetwarzania.
Pełne sprawdzenie konieczności i proporcjonalności przetwarzania w odniesieniu do celu.
Pełne sprawdzenie ryzyk związanych z prawami i wolnościami podmiotu danych; oraz
Środki, które mają być podjęte w celu ograniczenia ryzyka.

Praktyczne kroki do zgodności dla pracodawców

Poniżej znajdują się praktyczne wskazówki dla pracodawców, którzy rozważają wybór lub już wdrożyli śledzenie pojazdów. Ma to na celu zapewnienie, że jest to robione w sposób ograniczony, równ

y i zgodny z prawem:

#1 Ograniczenie czasu i/lub lokalizacji, kiedy śledzenie ma miejsce

Dane lokalizacyjne powinny być dostępne dla pracodawcy tylko w sytuacjach awaryjnych. Można to zrobić, aktywując widoczność lokalizacji pojazdu, uzyskując dostęp do już przechowywanych danych w systemie, gdy pojazd opuści swój wyznaczony obszar.

To ograniczone korzystanie z danych lokalizacyjnych pozwoli uniknąć potencjalnego naruszenia praw do ochrony danych i prywatności pracownika. Przetwarzanie musi być proporcjonalne i konieczne.

#2 Ostrożność przy wdrażaniu nowych technologii

Niektóre technologie nie respektują praw do przejrzystości i mogą być uważane za wysokiego ryzyka. Pracodawcy powinni pamiętać, że dane ściśle niezbędne do tego celu są przetwarzane, a pracownik informowany o ich istnieniu, celu wdrożenia (śledzenie), co jest zgodne z pełnym obowiązkiem przejrzystości pracodawcy.

#3 Wdrożenie środka opt-out

Jeżeli pojazd służbowy jest używany do celów prywatnych poza godzinami pracy, pracodawcy powinni być czujni i zapewnić zgodność z GDPR. W przypadku prywatnego pojazdu używanego do celów służbowych, powinna być dostępna opcja opt-out. Oznacza to możliwość wyłączenia lub dezaktywacji urządzenia śledzącego za pomocą przełącznika prywatności. Pracownicy powinni być nie tylko informowani o urządzeniu śledzącym i jego użyciu, ale także szkoleni w zakresie korzystania z przełącznika prywatności.

#4 Ograniczenie śledzenia i unikanie naruszania życia prywatnego pracownika

Podstawa prawna określona w Artykule 6 GDPR mówi, że jest mało prawdopodobne, aby śledzenie pojazdu pracownika było zgodne z prawem poza godzinami pracy. Może to prowadzić do naruszenia prawa do prywatności i ochrony danych pracownika.