Gig economy, czyli pracownicy platform cyfrowych a dane osobowe
W ostatnich latach dynamicznie rozwija się tzw. gig economy – gospodarka oparta o model elastycznego zatrudnienia z wykorzystaniem platform internetowych. Szacuje się, że w 2025 r. w UE 43 miliony osób będą zatrudnione za pośrednictwem takich platform. Trwa gorąca dyskusja na temat nowych przepisów w tym sektorze, w szczególności dotyczących modelu zatrudnienia takich pracowników, ale także podejmowania wobec nich zautomatyzowanych decyzji z wykorzystaniem różnego rodzaju algorytmów. O czym już teraz w świetle przepisów RODO powinny pamiętać podmioty organizujące platformy pracownicze? Omówimy to na przykładzie decyzji dotyczących platform food delivery wydanych przez włoski organ nadzorczy.
Dane osobowe zleceniobiorców – o czym należy pamiętać?
Świadczenie usług za pośrednictwem popularnych platform cyfrowych wiąże się z przetwarzaniem danych osobowych nie tylko klientów aplikacji, ale także zleceniobiorców, np. dostawców posiłków. To właśnie na przetwarzaniu ich danych skupimy się w naszym artykule.
Dane osobowe zleceniobiorcy przetwarzane przez podmioty organizujące platformy to nie tylko jego imię i nazwisko, ale także lokalizacja, trasa, liczba i rodzaj zrealizowanych zamówień, czas ich realizacji, wiadomości, które zleceniobiorca wysyła za pośrednictwem aplikacji, czy skargi, które go dotyczą.
Z punktu widzenia przepisów o ochronie danych osobowych kwestią kluczową jest fakt, że podmioty organizujące platformy są administratorami danych osobowych zleceniobiorców. W związku z tym ciąży na nich szereg obowiązków wynikających z RODO, takich jak w szczególności:
- zapewnienie odpowiedniej informacji o przetwarzaniu danych osobowych,
- ustalenie właściwej podstawy przetwarzania danych,
- działanie zgodnie z zasadą privacy by default, tak aby domyślnie przetwarzane były tylko te dane, które są niezbędne dla osiągnięcia konkretnego celu przetwarzania,
- zapewnienie realizacji praw związanych z przetwarzaniem ich danych osobowych.
Poniżej przyjrzymy się wybranym obowiązkom na kanwie decyzji wydanych przez włoski organ nadzorczy.
Działalność podmiotów organizujących platformy pracownicze jest silnie związana z przetwarzaniem danych, dlatego podmioty te nie powinny traktować zapewnienia zgodności z RODO jako pobocznego elementu swojej działalności. W 2021 r. boleśnie przekonały się o tym podmioty z branży dostaw jedzenia we Włoszech, na które organ nadzorczy Garante Per La Protezione Dei Dati Personali nałożył wysokie kary za naruszenia ochrony danych osobowych zleceniobiorców. Kary wyniosły 2,5 mln EUR (decyzja z 22 lipca 2021 r., 9685994) i 2,6 mln EUR (decyzja z 10 czerwca 2021 r., 9675440).
Transparentność
Jednym z podstawowych obowiązków administratora jest realizowanie tzw. obowiązku informacyjnego. W świetle RODO podmioty udostępniające platformy zleceniobiorcom zobowiązane są do przekazania im indywidualnie informacji o tym, w jaki sposób przetwarzają ich dane osobowe. Zakres tych informacji określają art. 13 i 14 RODO. Są to w szczególności informacje na temat tego:
- kto jest administratorem danych,
- w jakich celach i na jakiej podstawie dane są przetwarzane,
- kto będzie miał do nich dostęp,
- czy będą one transferowane poza EOG.
Informacja powinna być przekazywana w taki sposób, by zleceniobiorca mógł faktycznie się z nią zapoznać, tzn. co do zasady powinna być sformułowana w języku, którym posługuje się zleceniobiorca, przedstawiona w przejrzystej, zrozumiałej i łatwo dostępnej formie, napisana jasnym i prostym językiem.
Włoskie organy nadzorcze zarzuciły administratorom platform liczne nieprawidłowości w sposobie realizacji obowiązków informacyjnych. Między innymi klauzula o przetwarzaniu danych osobowych zawierała:
- mało precyzyjne informacje co do okresu przechowywania danych,
- nieprawidłowe informacje co do przetwarzania danych o geolokalizacji (sugerowała brak ciągłości zbierania danych).
Nie zawierała za to informacji o:
- zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu,
- zasadach podejmowania decyzji,
- znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.
W konsekwencji zleceniobiorcy nie mieli pełnej informacji o mechanizmie działania systemu i nie wiedzieli, w jaki sposób system, przetwarzając dane ich dotyczące, wpływał np. na otrzymywane przez nich zlecenia.
Analizując treść decyzji włoskiego organu nadzorczego, można dojść do wniosku, że przygotowanie odpowiedniej klauzuli informacyjnej nie jest proste. Trzeba uwzględnić szereg elementów i wyważyć pomiędzy jasnością przekazu a jego odpowiednią szczegółowością.
Zautomatyzowane podejmowanie decyzji
Podmioty organizujące platformy pracownicze często wprowadzają różne innowacyjne rozwiązania usprawniające działanie aplikacji – np. algorytm przyporządkowuje zamówienia do zleceniobiorców, którzy spełnili określone kryteria. W efekcie aplikacja albo blokuje, albo umożliwia danemu zleceniobiorcy świadczenie usług w ramach określonego zlecenia (np. w zależności od jego pozycji w wewnętrznych statystykach).
Z perspektywy przepisów o ochronie danych osobowych jest to sytuacja, w której zleceniobiorca podlega decyzji opierającej się wyłącznie na zautomatyzowanym przetwarzaniu jego danych osobowych (danych dotyczących sposobu realizacji przez niego usług) i wywołującej wobec niego skutki prawne lub w podobny sposób istotnie na niego wpływającej. Zgodnie z art. 22 ust. 2a RODO praktyka ta nie będzie zakazana m.in. wtedy, gdy taka zautomatyzowana decyzja jest niezbędna do zawarcia lub wykonania umowy między administratorem a osobą, której dane dotyczą (np. kurierem). W takim przypadku zgodnie z RODO administrator zobowiązany jest wdrożyć właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą, a co najmniej prawa do uzyskania interwencji ludzkiej ze strony administratora, do wyrażenia własnego stanowiska i do zakwestionowania tej decyzji.
Podmioty organizujące platformy pracownicze powinny więc ocenić, czy działanie ich systemów prowadzi do zautomatyzowanego podejmowania decyzji w rozumieniu art. 22 RODO odnośnie do zleceniobiorców. Jeśli tak (a najczęściej właśnie tak będzie), powinny zadbać o wdrożenie odpowiednich mechanizmów zapewniających co najmniej możliwość:
- interwencji ludzkiej przy podejmowaniu takiej decyzji,
- wyrażenia własnego stanowiska,
- zakwestionowania tej decyzji, np. jeśli pojawią się zarzuty co do danej decyzji ze strony zleceniobiorcy.
Włoskie organy stwierdziły, że administratorzy nie wdrożyli tego rodzaju środków, wymaganych na gruncie RODO.
Ocena skutków dla ochrony danych (DPIA)
Zgodnie z art. 35 ust. 1 RODO Jeżeli dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych.
Art. 35 ust. 3 stanowi, że ocena skutków dla ochrony danych (tzw. DPIA) jest wymagana w szczególności w przypadku systematycznej, kompleksowej oceny czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco wpływających na osobę fizyczną.
W przypadku większości platform pracowniczych mamy do czynienia ze:
- świadczeniem usług za pośrednictwem innowacyjnej platformy cyfrowej,
- podlegającym szczegółowemu śledzeniu (także w zakresie geolokalizacji) systemem zamówień,
- profilowaniem i zautomatyzowanym podejmowaniem decyzji wobec zleceniobiorców.
Dlatego trudno znaleźć argumenty, że tego rodzaju działalność nie podlega wymogom z art. 35 RODO i że administrator danych nie musi przeprowadzić i udokumentować takiej oceny.
Ocena ta (przeprowadzona jeszcze przed rozpoczęciem działania aplikacji) powinna stanowić punkt wyjścia do odpowiedniego zaadresowania ryzyk związanych z projektowanym funkcjonowaniem aplikacji w zakresie przetwarzania danych osobowych, w szczególności w celu odpowiedniej realizacji zasad przetwarzania wynikających z RODO, w tym legalności przetwarzania, transparentności, privacy by default i by design.
Taki też pogląd przyjęły włoskie organy nadzorcze, które uznały, że nieprzeprowadzenie DPIA przez podmioty angażujące kurierów było naruszeniem przepisów RODO.
Projektowane przepisy
Osoby wykonujące pracę za pośrednictwem platform cyfrowych często nie wiedzą, jak działają algorytmy podejmujące wobec nich decyzje oraz jakie ich dane są wykorzystywane w tym celu. Dlatego trwają prace nad tekstem dyrektywy w sprawie poprawy warunków pracy za pośrednictwem platform cyfrowych. Negocjacje Rady z Parlamentem Europejskim zostaną wznowione przez prezydencję belgijską (1 stycznia – 30 czerwca 2024 r.).
Projektowane przepisy przewidują m.in. wyraźny obowiązek szczegółowego informowania pracowników platform cyfrowych o stosowaniu zautomatyzowanego monitorowania i zautomatyzowanych systemów decyzyjnych. Ma też być wprowadzony zakaz przetwarzania za pomocą tych systemów określonych danych (np. dotyczących stanu psychicznego), a także wymóg monitorowania przez człowieka wpływu poszczególnych decyzji podejmowanych lub wspieranych przez zautomatyzowane systemy monitorowania lub podejmowania decyzji na osoby wykonujące prace za pośrednictwem platform.
Projekt odnosi się także do kwestii modelu zatrudnienia dostawców. W tym zakresie ewentualne zmiany miałyby rewolucyjny charakter, ponieważ zgodnie z propozycją Rady pracownicy platform cyfrowych (którzy obecnie mają w praktyce w większości status samozatrudnionych) mieliby być traktowani jako zatrudnieni w ramach stosunku pracy (domniemanie prawne), jeśli będą spełnione przynajmniej 3 z 7 kryteriów wskazanych w dyrektywie. Kryteria te to przykładowo:
- cyfrowa platforma pracy nadzoruje wykonywanie pracy, w tym drogą elektroniczną,
- cyfrowa platforma pracy zobowiązuje osobę̨ wykonującą̨ pracę za pośrednictwem platform internetowych do przestrzegania szczególnych zasad dotyczących wyglądu, postępowania wobec odbiorcy usługi lub wykonania pracy,
- cyfrowa platforma pracy ogranicza swobodę̨ organizowania pracy, w tym poprzez sankcje, poprzez ograniczenie swobody wyboru godzin pracy lub okresów nieobecności.
Podmioty organizujące platformy powinny bacznie obserwować postęp prac w powyższym zakresie. Chociaż przepisy nie zostały jeszcze uchwalone i nie jest jasne, kiedy zaczną obowiązywać, warto pamiętać, że już dziś platformy zobowiązane są przestrzegać przepisów RODO, a ich nieprzestrzeganie może narazić je na ryzyko kar finansowych.
Karolina Romanowska, adwokat, praktyka danych – gospodarki opartej na danych kancelarii Wardyński i Wspólnicy
Aleksandra Drożdż, adwokat, praktyka transakcji i prawa korporacyjnego kancelarii Wardyński i Wspólnicy
Łukasz Rutkowski, radca prawny, praktyka danych – gospodarki opartej na danych kancelarii Wardyński i Wspólnicy