Analiza danych pochodzących z dzienników zdarzeń systemów informatycznych może pośrednio prowadzić do monitorowania pracowników.
Celem pierwotnym jest ocena rzeczywistego funkcjonowania organizacji przedsiębiorcy, to w przeważającej części przypadków pośrednio dochodzić będzie również do oceny jakości pracy pracowników. Oznacza to, że przed przystąpieniem do eksploracji swoich procesów biznesowych przedsiębiorca powinien się upewnić, że jego pracownicy zostali w należyty sposób poinformowani o możliwości prowadzenia kontroli.
Prywatność w miejscu pracy
Jeżeli przedsiębiorca już wcześniej informował pracowników, że mogą być monitorowani, to nie ma oczywiście konieczności, aby informować ich o tym jeszcze raz. W kontekście eksploracji procesów istotne jest jednak, aby pracownicy mieli świadomość, że pracodawca może ich kontrolować nie tylko w sposób tradycyjnie przyjęty, np. kontrolując rozmowy telefoniczne, służbową skrzynkę pocztową, odwiedzane strony www czy przy nadzorze kamer wideo, ale również po przez poddanie analizie danych zapisywanych w dziennikach zdarzań przez systemy informatyczne, którymi pracownicy posługują się w bieżącej działalności.
Kolejno należy pamiętać, że skoro z eksploracją procesów wiąże się monitorowanie pracowników, to niewątpliwie dochodzi również do przetwarzania ich danych osobowych. Zgodnie z ustawą o ochronie danych osobowych za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.
Biorąc pod uwagę otwarty charakter ustawowej definicji danych osobowych, możemy stwierdzić, że w zakresie, w jakim zapisy z dziennika zdarzeń systemu informatycznego dotyczące konkretnego pracownika pozwalają na jego identyfikację, będziemy mówić o danych osobowych w rozumieniu ustawy. Nie można oczywiście wykluczyć, że w konkretnym przypadku możliwe będzie przeprowadzenie analizy danych wybranych w taki sposób, że nie będą one zawierały danych osobowych, zachowując jednocześnie informacje wartościowe z punktu widzenia samego procesu objętego badaniem. W takim wypadku przepisy ustawy o ochronie danych osobowych nie znajdą zastosowania.
Pamiętaj o umowie
Ponieważ do danych osobowych w postaci zapisów z dziennika zdarzeń dostęp uzyska podmiot trzeci, tj. usługodawca przeprowadzający eksplorację procesów, przedsiębiorca powinien zadbać o podpisanie umowy powierzenia przetwarzania danych osobowych. Obowiązek ten wynika wprost z przepisów ustawy o ochronie danych osobowych, a za jego spełnienie odpowiada administrator danych, a więc przedsiębiorca. Umowa taka powinna przynajmniej określać zakres danych osobowych, które będą przetwarzane przez usługodawcę oraz cel ich przetwarzania. W praktyce w umowach powierzenia przetwarzania danych regulowane są również inne zagadnienia, np. kwestia możliwości dalszego powierzenia do przetwarzania danych osobowych, kar umownych za niezgodne z umową przetwarzanie tych danych oraz zobowiązanie podmiotu przetwarzającego do odpowiedniego zabezpieczenia danych. Warto również uregulować w niej sposób postępowania z danymi osobowymi po zakończeniu współpracy. Podobnie jak wskazano wyżej, o ile możliwe będzie przeprowadzenie analizy zapisów z dzienników zdarzeń w oparciu o dane, które nie są danymi osobowymi, przedsiębiorca nie musi zawierać umowy powierzenia przetwarzania danych.
Możliwa jest również sytuacja, w której w kontekście świadczenia usług analizy danych zapisywanych w systemach informatycznych przedsiębiorcy dochodzić będzie do przetwarzania danych osobowych klientów. W tym wypadku poza obowiązkiem podpisania umowy powierzenia przetwarzania danych przedsiębiorca w terminie 30 dni od jej podpisania zgłosić w biurze GIODO, że podmiot świadczący usługę eksploracji procesów przetwarza dane osobowe jego klientów.
Warto zasygnalizować, że baza danych, o ile spełnia cechy utworu, podlega ochronie prawa autorskiego. Niezależnie od tego bazy danych objęte są również ochroną przewidzianą w ustawie o ochronie baz danych. Fakt ten implikuje interesujące i skomplikowane zagadnienia prawne, jak np. określenie właściciela bazy danych, podstawy prawnej wtórnego wykorzystania danych gromadzonych przez dzienniki zdarzeń czy kwestię uprawnionego do wyników przeprowadzonej analizy.
Łukasz Czynienik radca prawny w kancelarii Hogan Lovells
Łukasz Czynienik radca prawny w kancelarii Hogan Lovells
Eksploracja procesów biznesowych jest niezwykle użytecznym narzędziem, którego wykorzystanie może przynieść przedsiębiorcy realne korzyści. Wydaje się, że w najbliższej przyszłości również polscy przedsiębiorcy coraz częściej będą sięgali po tego rodzaju instrumenty analityczne.
Muszą przy tym pamiętać, że analiza danych gromadzonych w systemach informatycznych wymaga podjęcia odpowiednich działań, które zabezpieczą prawny aspekt przeprowadzanej analizy.
Ochrona danych osobowych, prawo autorskie oraz ochrona baz danych to główne zagadnienia, które należy mieć na uwadze przed przystąpieniem do analizy rzeczywistego funkcjonowania organizacji przedsiębiorcy.
