OCHRONA DANYCH OSOBOWYCH OSÓB WYKONUJĄCYCH PRACĘ NA PLATFORMACH CYFROWYCH – WYBRANE ZAGADNIENIA

Arleta Nerka ^*

logo ORCID https://orcid.org/0000-0002-2095-7358

Streszczenie. Zagrożenia związane z szerokim wykorzystywaniem danych osobowych w obszarze zatrudnienia za pośrednictwem platform cyfrowych rodzą istotne ryzyka dla ochrony prywatności osób świadczących pracę. Platformy te w celu optymalizacji osiągnięcia celów rynkowych stosują narzędzia w postaci zautomatyzowanych systemów monitorujących oraz zautomatyzowanych systemów decyzyjnych, warunkujących zarządzanie procesami zatrudnienia oraz wykonywania pracy. W artykule omówiono problematykę ochrony danych osobowych osób wykonujących pracę za pośrednictwem cyfrowych platform, a asumptem do podjęcia rozważań w tym obszarze stała się dyrektywa Parlamentu Europejskiego i Rady UE 2024/2831 z dnia 23 października 2024 r. w sprawie poprawy warunków pracy za pośrednictwem platform. Główne pytanie badawcze dotyczy możliwości zapewnienia stanu równowagi między wykorzystywaniem danych przez platformy realizujące cele rynkowe a ochroną prawa do prywatności pracowników, którego wzmocnienie stanowi jeden z celów przedmiotowej dyrektywy. Mechanizm ochrony danych wprowadzony przez dyrektywę staje się elementem wzmacniania pozycji pracowników platformowych w cyfrowej gospodarce.

Słowa kluczowe: ochrona danych osobowych, osoba wykonująca pracę za pośrednictwem platform, cyfrowe platformy pracy, zarządzanie algorytmiczne, ochrona prywatności

PROTECTION OF PERSONAL DATA OF PERSONS PERFORMING WORK ON DIGITAL PLATFORMS – SELECTED ISSUES

Abstract. The threats associated with the extensive use of personal data in the area of employment via digital platforms pose significant risks to the protection of the privacy of people performing work. In order to optimize the achievement of market goals, these platforms use tools in the form of automated monitoring systems and automated decision-making systems that condition the management of employment processes and work performance. The article discusses the issue of protecting the personal data of people performing work via digital platforms, and the reason for considering this area was the Directive of the European Parliament and of the Council (EU) 2024/2831 of 23 October 2024 on the improvement of working conditions via platforms. The main research question concerns the possibility of ensuring a balance between the use of data by platforms pursuing market goals and the protection of the right to privacy of employees, the strengthening of which is one of the objectives of the directive. The data protection mechanism introduced by the directive is becoming an element of strengthening the position of platform workers in the digital economy.

Keywords: personal data protection, platform worker, digital work platforms, algorithmic management, privacy protection

Jedną z wiodących cech współczesnego rynku gospodarczego stała się powszechność wykorzystywania danych osobowych. Wydaje się, że najważniejszym wyzwaniem dotyczącym ochrony praw człowieka, zwłaszcza prywatności i ochrony danych osobowych, jest pogodzenie rozwoju technologii z nowoczesną i efektywną regulacją prawną. Doświadczenia wskazują bowiem, że obecne ramy prawne ochrony danych osobowych okazują się już niewystarczające dla zagwarantowania poszanowania praw człowieka, zwłaszcza gdy procesy dentyzacji pozwalają zarówno na wygenerowanie danych na podstawie już dostępnych danych, jak i ich dalsze przetwarzanie. Zagrożenia związane z szerokimi możliwościami eksploatacji danych osobowych na wielu płaszczyznach (monetyzacja danych, utowarowienie danych) muszą prowadzić do rozwijania zasad prawnych i etycznych ich odpowiedzialnego wykorzystywania^[1]. Stąd ważne jest podejście regulacyjne do problematyki przetwarzania danych osobowych, aby zapewnić prawną ochronę człowieka w kontekście wykorzystania jego danych osobowych.

W sferze zatrudnienia prawo ochrony danych osobowych musi mierzyć się z dość zróżnicowanymi problemami, takimi jak: zarządzanie algorytmiczne szeroko wykorzystujące dane osobowe; skrzywienie algorytmów zaangażowanych w procesy zautomatyzowanego podejmowania decyzji; dyskryminacja; pozbawienie lub ograniczenie możliwości sprawowania kontroli nad danymi osobowymi w ramach autonomii informacyjnej człowieka; przetwarzanie, w związku z którym oceniane są czynniki osobowe, w szczególności analizowane lub prognozowane efekty pracy; lokalizacja pracownika. Wszystkie te problemy pozostają aktualne w obszarze wykonywania pracy za pośrednictwem platform cyfrowych. Przedsiębiorstwa te stosują narzędzia w postaci zautomatyzowanych systemów monitorujących oraz zautomatyzowanych systemów decyzyjnych w celu organizacji i zarządzania procesami zatrudnienia oraz wykonywania pracy, których funkcjonowanie opiera się na przetwarzaniu danych osobowych osób zatrudnionych. W przeciwieństwie bowiem do tradycyjnie postrzeganych modeli zarządzania opartych na relacjach osobistych, zarządzanie algorytmiczne zależy od ciągłego przekazywania informacji o zachowaniu poszczególnych pracowników (Rosenblat, Stark 2016, 3758–3784).

Celem opracowania jest analiza wybranych aspektów ochrony danych osobowych pracowników platform cyfrowych. Rozważania ujęte w opracowaniu koncentrują się wokół regulacji dotyczących tej materii ujętych w dyrektywie Parlamentu Europejskiego i Rady UE 2024/2831 z dnia 23 października 2024 r. w sprawie poprawy warunków pracy za pośrednictwem platform (dalej: dyrektywa lub dyrektywa 2024/2831), rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), Dz. Urz. UE L z 2016 r., nr 119, s. 1 (dalej: RODO) oraz rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2024/1689 z dnia 13 czerwca 2024 r. w sprawie ustanowienia zharmonizowanych przepisów dotyczących sztucznej inteligencji oraz zmiany rozporządzeń (WE) 300/2008, (UE) 167/2013, (UE) 168/2013, (UE) 2018/858, (UE) 2018/1139 i (UE) 2019/2144 oraz dyrektyw 2014/90/UE, (UE) 2016/797 i (UE) 2020/1828 (akt w sprawie sztucznej inteligencji), Dz. Urz. UE L z 2024 r., nr 1689 (dalej: AIA). Zamierzeniem badawczym podjętym w opracowaniu jest rozważenie regulacji dotyczących ochrony danych osobowych w związku ze stosowaniem narzędzi monitorujących i decyzyjnych do zatrudniania osób przez platformy w kontekście potencjalnych ryzyk związanych z ich stosowaniem.

Dynamicznie rozwijająca się gospodarka tzw. gig economy skupia się na dostarczaniu usług w ramach konceptu pracy opartego na zleceniach i prowadzeniu przez jednostki indywidualnej działalności gospodarczej. Chodzi o relację trzech podmiotów, a więc wykonawcy pracy (usługodawcy), klienta (użytkownika, usługobiorcy) oraz platformy internetowej, która pośredniczy pomiędzy dostawcą i odbiorcą usługi z wykorzystaniem odpowiednich aplikacji (por. Świątkowski 2019, 95 i n.; Świątkowski 2022, 33 i n., 95 i n.; Mirosławski 2023, 1 i n.). Najczęściej podawanymi przykładami pracy wykonywanej za pośrednictwem platform są usługi okazjonalnego przewozu osób (np. Uber, Bolt), usługi polegające na szybkim dostarczaniu zamówień (m.in. posiłków, zakupów), np. Glovo czy Deliveroo, poszukiwaniu usług w domu klienta, np. sprzątania. Należą do nich również usługi profesjonalne realizowane za pośrednictwem platformy online (crowdworkers) w zakresie np. księgowości, tłumaczeń, działań marketingowych, usług informatycznych, graficznych, kontrolnych itp., czy wykonywania mikrozadań (Lach 2023, 57 i n. oraz wskazana tam literatura).

System pracy platformowej może ograniczać stosowanie podstawowych gwarancji prawa pracy, które w ujęciu prawa polskiego formułuje Konstytucja, m.in. wymóg płacy minimalnej (art. 65 ust. 4), zapewnienie bezpiecznych i higienicznych warunków pracy (art. 66 ust. 1) oraz prawo do odpoczynku (art. 66 ust 2). Wykorzystywane przez platformy internetowe modele zatrudnienia i organizacji pracy podważają istniejące gwarancje w zakresie ochrony pracy osób zatrudnionych, jednocześnie tworząc warunki zatrudnienia charakteryzujące się pewnym identyfikowalnym poziomem podporządkowania i kontroli, który platformy realizują za pośrednictwem narzędzi cyfrowych, m.in. w postaci zarządzania algorytmicznego czy złożonych systemów punktowych (Todolí-Signes 2021). Przykładem może być choćby przydzielanie zadań osobom dostarczającym przesyłki kurierskie, oparte na systemach algorytmicznych łączących informacje geolokalizacyjne pracowników z bieżącymi zamówieniami (Parent-Rocheleau, Parker 2022). Pozorne samozatrudnienie stało się powodem protestów osób zatrudnionych za pośrednictwem platform, a sama problematyka statusu prawnego platform workers stała się przedmiotem licznych badań doktryny (por. m.in. Świątkowski 2019; Wratny, Ludera-Ruszel 2020; Chesalina 2021; Bąba 2022), wypowiedzi judykatury^[2], a w konsekwencji aktywności unijnego prawodawcy prowadzącej do uchwalenia dyrektywy 2024/2831. Dotychczasowe regulacje dotyczące statusu osób zarobkujących za pośrednictwem platform nie uwzględniają specyfiki tego rodzaju pracy (Nowik 2020, 269 i n.), co prowadzi do problemów z egzekwowaniem podstawowych praw pracowniczych dotyczących m.in. czasu pracy, prawa do wypoczynku, prawa do bhp, prawa do ochrony prywatności. Pracownicy platform są również narażeni na izolację, intensyfikację czynności w zwiększonym wymiarze czasu pracy oraz cyfrowe monitorowanie i nadzór, przez co mogą doświadczyć wysokiego poziomu stresu. Niepracowniczy status zatrudnienia tych osób stanowi w ocenie platform argument uzasadniający przenoszenie na nie odpowiedzialności za własne bezpieczeństwo i zdrowie w miejscu pracy, jak również w efekcie ogranicza możliwości skorzystania z ochrony prawnej właściwej dla pracowników zatrudnionych na podstawie stosunku pracy. A przecież w przypadku prawa do ochrony zdrowia i życia w związku z pracą realizowanego poprzez zapewnienie bezpiecznych i higienicznych warunków pracy oraz odpowiednich norm czasu pracy i odpoczynku jest bezsporne, że jego wykonanie nie jest i nie może być pozostawione swobodnej decyzji uprawnionego (por. szerzej Wyka 2023, 313; Wyka 2007, 331–344).

W szerszym kontekście zjawisko pracy platformowej stawia pytania dotyczące modelu zatrudnienia takich pracowników (Naumowicz 2022, 95–103), a w konsekwencji również o dopuszczalność i granice podejmowania wobec nich zautomatyzowanych decyzji z wykorzystaniem algorytmów. Świadczenie usług za pośrednictwem platform cyfrowych wiąże się z przetwarzaniem danych osobowych osób wykonujących pracę. To nie tylko dane identyfikujące osobę: imię, nazwisko, adres zamieszkania, ale także lokalizacja, trasa, liczba i rodzaj zrealizowanych zamówień, czas ich realizacji, wiadomości, które zleceniobiorca wysyła za pośrednictwem aplikacji, czy oceny lub skargi, które go dotyczą.

Osoby wykonujące pracę za pośrednictwem platform cyfrowych często nie są świadome, jak działają algorytmy podejmujące wobec nich decyzje oraz jakie ich dane są wykorzystywane w tym celu, a zautomatyzowane zarządzanie oraz brak przejrzystości procesów decyzyjnych generują nowe formy dyskryminacji. Właśnie dlatego dyrektywa 2024/2831 obejmująca zakresem przedmiotowym sferę ochrony danych osobowych stanowi ważny krok w kierunku uporządkowania rynku pracy platformowej oraz próby zapewnienia pracownikom warunków zatrudnienia odpowiadających standardom prawa pracy. Algorytmiczne systemy zarządzania opierają się w dużej mierze na szeroko zakrojonych decyzjach zarządczych i automatyzacji monitorowania miejsca pracy, co wymaga dużych ilości danych, które warunkują cały algorytmiczny system zarządzania. Niestety, wiele platform ma tendencję do traktowania gromadzonych danych w kategorii własnych aktywów, mimo że są one generowane przez zatrudnionych, użytkowników, klientów (Nowik 2024, 24 i n.).

Ochrona danych osobowych osób zatrudnionych na platformach cyfrowych jest regulowana przede wszystkim przepisami RODO, którego zadaniem było stworzenie jednolitego standardu ochrony danych osobowych w regionie europejskim. Jednakże duża specyfika wykonywania pracy na platformach cyfrowych wykorzystujących na szeroką skalę nowoczesne technologie, w tym sztuczną inteligencję, zasadniczo nie mieszcząca się w klasycznym paradygmacie stosunku pracy, jak również związane z tym zagrożenia i ryzyka^[3] spowodowały, że niezbędne stały się regulacje przewidujące wyższy standard ochrony osób wykonujących pracę za pośrednictwem platform, jak również osób przechodzących procedurę rekrutacji lub wyboru. W konsekwencji obowiązek zapewnienia odpowiedniego (wyższego) poziomu ochrony danych osobowych pracowników jest jednym z priorytetów dyrektywy 2024/2831, która przewiduje bardziej szczegółowe zabezpieczenia dotyczące danych osobowych przetwarzanych za pomocą zautomatyzowanych systemów monitorujących lub zautomatyzowanych systemów w kontekście pracy za pośrednictwem platform (zob. zd. 1 motywu 38 preambuły dyrektywy). Wskazuje się tutaj na art. 88 RODO, na podstawie którego prawodawca unijny upoważnił państwa członkowskie do przyjęcia bardziej szczegółowych przepisów mających zapewnić ochronę praw i wolności pracownika w związku z przetwarzaniem jego danych osobowych dla celów dotyczących zatrudnienia. Nadrzędnym celem tej regulacji jest zapewnienie ochrony praw i wolności pracownika w związku z zatrudnieniem, co oznacza stworzenie przepisów zapewniających dalej idącą ochronę pracownika niż przewiduje to standard RODO (Nerka 2018). Z kolei dyrektywa 2024/2831 wprowadza bardziej szczegółowe zabezpieczenia dotyczące przetwarzania danych osobowych za pomocą systemów zautomatyzowanych w pracy świadczonej za pośrednictwem platform, a tym samym zapewnia wyższy poziom ochrony danych osobowych osób wykonujących pracę za pośrednictwem platform, w szczególności poprzez ustanowienie bardziej szczegółowych przepisów względem RODO dotyczących stosowania zautomatyzowanego podejmowania decyzji i przejrzystości w tym zakresie. Poza tym dyrektywa 2024/2831 ustanawia dodatkowe środki w celu zagwarantowania ochrony danych osobowych osób wykonujących pracę za pośrednictwem platform, w szczególności gdy decyzje dotyczące zatrudnienia są podejmowane lub wspierane przez zautomatyzowane przetwarzanie danych osobowych.

Antycypując dalsze rozważania, należy wskazać, że przyjęte w dyrektywie regulacje ochrony danych mają na celu zapewnienie zasad przetwarzania danych osobowych wyartykułowanych w art. 5 RODO, w szczególności zasady przejrzystości (transparentności), której przestrzeganie ma fundamentalne znaczenie dla zapewnienia skutecznej ochrony podmiotów danych. Jej treścią jest bowiem przetwarzanie danych osobowych w sposób przejrzysty dla osoby, której dane dotyczą (art. 5 ust. 1 lit. a RODO), a treść motywu 60 RODO wskazuje, że zasady rzetelnego i przejrzystego przetwarzania wymagają, aby podmiot danych był informowany o prowadzeniu operacji przetwarzania i o jej celach. W konsekwencji treść zasady przejrzystości ma wpływ na ukształtowanie i realizację wielu obowiązków administratora o dużym znaczeniu dla zapewnienia autonomii informacyjnej pracownika^[4].

Do instrumentów zapewniających wyższy standard ochrony danych osobowych osób pracujących za pośrednictwem platform na gruncie dyrektywy 2024/2831 należą m.in.: ograniczenie przetwarzania danych osobowych, których wykorzystanie stwarza wysokie zagrożenie naruszenia praw i wolności osoby, utrudniając lub nawet uniemożliwiając skorzystanie z przysługujących praw, w szczególności środków ochrony prawnej (art. 7); obowiązki w zakresie szczegółowego informowania pracowników platform cyfrowych o stosowaniu zautomatyzowanego monitorowania i zautomatyzowanych systemów decyzyjnych (art. 9, 14); wymóg monitorowania przez człowieka wpływu poszczególnych decyzji podejmowanych lub wspieranych przez zautomatyzowane systemy monitorowania lub podejmowania decyzji na osoby wykonujące pracę za pośrednictwem platform (art. 10 i 11), obowiązek zasięgnięcia opinii osób wykonujących pracę za pośrednictwem platform i ich przedstawicieli w zakresie realizacji obowiązku oceny skutków dla ochrony danych (art. 8), środki ochrony prawnej (art. 18–24). Mechanizmy te mają za zadanie wzmocnić prawo pracowników do prywatności i ograniczyć możliwości stosowania technologii w sposób ingerujący w sferę autonomii informacyjnej podmiotu danych.

Zgodnie z art. 7 dyrektywy 2024/2831 cyfrowe platformy pracy nie mogą za pomocą zautomatyzowanych systemów monitorujących lub zautomatyzowanych systemów decyzyjnych dokonywać operacji przetwarzania wyszczególnionych danych osobowych osoby wykonującej pracę za pośrednictwem platform, a we wskazanych sytuacjach gromadzić tych danych lub przetwarzać w określonych celach. Do danych osobowych, które są objęte zakazem przetwarzania za pomocą wskazanych systemów, należą, po pierwsze, dane osobowe dotyczące stanu emocjonalnego lub psychicznego osoby wykonującej pracę za pośrednictwem platform. Dane te mogą korzystać z ochrony przewidzianej przez art. 9 RODO, tj. dla danych osobowych objętych szczególną ochroną prawną (wrażliwych, sensytywnych). Informacje pozyskane z analizy stanu psychicznego osoby fizycznej wpisują się w zakres danych szczególnie chronionych, dotyczących zdrowia. Pojęcie to powinno być poddane szerokiej interpretacji obejmującej informacje dotyczące wszystkich aspektów – zarówno fizycznych, jak i psychicznych – stanu zdrowia danej osoby (por. m.in. wyrok TS z dnia 6 listopada 2003 r., C-101/01, w sprawie Bodil Lindqvist, Zb. Orz. 2003, I-12971, No. 50), co wpisuje się w definicję legalną „danych dotyczących zdrowia”, określoną w art. 4 pkt 15 RODO. Przepis wskazuje, że chodzi o dane osobowe o zdrowiu fizycznym lub psychicznym osoby fizycznej – w tym o korzystaniu z usług opieki zdrowotnej – ujawniających informacje o stanie jej zdrowia. Zakaz przetwarzania tych danych koresponduje z art. 5 ust. 1 lit. f AIA, który zabrania wprowadzania do obrotu, oddawania do użytku w tym konkretnym celu lub wykorzystywania systemów AI do wyciągania wniosków na temat emocji osoby fizycznej w miejscu pracy lub instytucjach edukacyjnych, z wyjątkiem przypadków, w których system AI ma zostać wdrożony lub wprowadzony do obrotu ze względów medycznych lub bezpieczeństwa. Oznacza to zakaz stosowania systemów AI w celu algorytmicznego wyciągania wniosków (infer emotions) na temat emocji osoby fizycznej w miejscu pracy z uwagi na występujący w tych sytuacjach „brak równowagi sił”^[5].

Po drugie, do danych osobowych, które są objęte zakazem przetwarzania w rozumieniu art. 7, należą dane osobowe dotyczące prywatnych rozmów, w tym komunikacji z innymi osobami pracującymi za pośrednictwem platform i przedstawicielami osób wykonujących pracę za pośrednictwem platform. Ograniczenie to wydaje się dość oczywiste. Wyzwania związane z technikami analizy predykcyjnej i kontekstowej budzą bowiem uzasadnione obawy dotyczące prywatności i ochrony danych w miejscu pracy. W kontekście platform odnoszą się one przede wszystkim do fazy gromadzenia danych, co wprost dotyczy autonomii pracowników w zakresie sprawowania odpowiedniej kontroli nad ich prywatnością. Jednym ze źródeł problemów jest asymetria wiedzy stron stosunku prawnego; poza tym analiza danych może zawierać błędy skutkujące dyskryminacją grupy pracowników lub poszczególnych pracowników (Nowik 2024, 26 i n.).

Po trzecie, przedmiotowe ograniczenie obejmuje dane osoby wykonującej pracę za pośrednictwem platform, gdy osoba ta nie oferuje ani nie wykonuje pracy za pośrednictwem platform (tutaj zakaz przetwarzania został ograniczony do czynności w postaci „gromadzenia” tych danych, czyli przepis dopuszcza dokonywanie innych czynności przetwarzania w związku np. z monitorowaniem pracownika w czasie rzeczywistym).

Czwarte wyłączenie obejmuje dane biometryczne w rozumieniu w art. 4 pkt 14 RODO. Pojęcie „danych biometrycznych” należy interpretować w świetle definicji tych danych z art. 4 pkt 14 RODO. Objęcie tych danych zakazem przetwarzania jest zrozumiałe, gdyż dane te mogą umożliwiać uwierzytelnianie, identyfikację lub kategoryzację osób fizycznych oraz rozpoznawanie emocji osób fizycznych.

Poza tym cyfrowe platformy pracy, już bez ograniczeń przedmiotowych, nie mogą za pomocą zautomatyzowanych systemów monitorujących lub zautomatyzowanych systemów decyzyjnych:

przetwarzać danych osobowych w celu przewidywania korzystania z praw podstawowych, w tym wolności stowarzyszania się, prawa do rokowań i działań zbiorowych lub prawa do informacji i konsultacji, określonych w Karcie;
przetwarzać danych osobowych w celu wywnioskowania pochodzenia rasowego lub etnicznego, statusu migracyjnego, poglądów politycznych, przekonań religijnych lub światopoglądowych, niepełnosprawności, stanu zdrowia, w tym choroby przewlekłej lub HIV, stanu emocjonalnego lub psychicznego, przynależności do związków zawodowych, życia seksualnego lub orientacji seksualnej.

Zakres podmiotowy ochrony przewidzianej przez art. 7 jest szeroki, ponieważ zgodnie z jego ust. 2, ma ona zastosowanie do wszystkich osób wykonujących pracę za pośrednictwem platform od początku procedury rekrutacji lub wyboru.

Ważną kwestią jest zastrzeżenie art. 7 ust. 3, iż oprócz zautomatyzowanych systemów monitorujących i zautomatyzowanych systemów decyzyjnych powyższe ograniczenia stosuje się również w przypadku, gdy cyfrowe platformy pracy korzystają ze zautomatyzowanych systemów podejmujących lub wspierających decyzje, które w jakikolwiek sposób wpływają na osoby wykonujące pracę za pośrednictwem platform. Analizując ten przepis, należy odnieść się do treści prawa podmiotu danych wyrażonego w art. 22 ust. 1 RODO, by nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołuje wobec tej osoby skutki prawne lub w podobny sposób istotnie na nią wpływa^[6]. Regulacja art. 22 RODO obejmuje decyzje oparte wyłącznie na zautomatyzowanym przetwarzaniu, a więc bez istotnej ingerencji człowieka. Administrator powinien co najmniej zapewnić prawo do uzyskania interwencji ludzkiej do wyrażenia własnego stanowiska i do zakwestionowania tej decyzji. Oznacza to konieczność zapewnienia możliwości odwołania się osoby, której dane dotyczą, od automatycznego rozstrzygnięcia, a odwołanie to powinien rozpatrywać człowiek. Istotne znaczenie dla wzmocnienia ochrony pracowników przed skutkami podejmowania całkowicie zautomatyzowanych decyzji w rozumieniu art. 22 RODO będzie miał wyrok TSUE w sprawie C-634/21 (tzw. sprawa Schufa), dotyczący co prawda wyliczenia scoringu kredytowego (w sposób zautomatyzowany, bez udziału człowieka). Trybunał wskazał, że art. 22 ust. 1 RODO należy interpretować w ten sposób, że:

Zautomatyzowane wyliczenie przez biuro informacji kredytowej wartości prawdopodobieństwa opartej na danych osobowych dotyczących danej osoby w zakresie jej zdolności do wywiązywania się ze zobowiązań płatniczych w przyszłości stanowi „zautomatyzowane podejmowanie decyzji w indywidualnych przypadkach” w rozumieniu tego przepisu, jeżeli od tej wartości prawdopodobieństwa zależy w decydujący sposób, czy strona trzecia, której wspomnianą wartość prawdopodobieństwa przekazano, nawiąże, wykona lub zakończy stosunek umowny z tą osobą^[7].

Trybunał zwrócił tu uwagę na ryzyko obejścia art. 22 RODO i wystąpienia luki w ochronie prawnej osób, których dane dotyczą. Zdaniem TSUE, gdyby przyjąć zawężającą wykładnię tego przepisu, zgodnie z którą wyliczenie scoringu byłoby jedynie „działaniem przygotowawczym”, a nie decyzją z art. 22 RODO, to osoby fizyczne byłyby pozbawione praw związanych ze zautomatyzowanym podejmowaniem decyzji. Chodzi tu w szczególności o prawo do informacji o istotnych zasadach podejmowania zautomatyzowanych decyzji, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą (art. 15 ust. 1 lit. h RODO) oraz obowiązek wdrożenia środków ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą, a co najmniej prawa do uzyskania interwencji ludzkiej ze strony administratora, do wyrażenia własnego stanowiska i do zakwestionowania tej decyzji (art. 22 ust. 3 RODO).

W tym aspekcie ważną regulacją dyrektywy 2024/2831 jest wymóg ludzkiej interwencji w kluczowe decyzje podejmowane przez algorytmy, co ma na celu ograniczenie negatywnych skutków w pełni zautomatyzowanych procesów decyzyjnych. Zgodnie z art. 11 ust. 1 dyrektywy osoby wykonujące pracę za pośrednictwem platform mają prawo bez zbędnej zwłoki uzyskać od cyfrowej platformy pracy wyjaśnienia w formie ustnej lub pisemnej dotyczące decyzji podjętej lub wspieranej przez zautomatyzowany system decyzyjny. Osoby wykonujące pracę za pośrednictwem platform oraz, zgodnie z prawem krajowym lub praktyką krajową, przedstawiciele osób wykonujących pracę za pośrednictwem platform działający w ich imieniu mają prawo zwrócić się z wnioskiem do cyfrowej platformy pracy o zweryfikowanie decyzji podjętej lub wspieranej przez zautomatyzowany system decyzyjny. Cyfrowa platforma pracy ma obowiązek udzielenia odpowiedzi, jednak w przypadku stwierdzenia, że decyzja narusza prawa osoby wykonującej pracę, cyfrowa platforma pracy koryguje tę decyzję. Jeżeli taka korekta nie jest możliwa, cyfrowa platforma pracy oferuje odpowiednie odszkodowanie za poniesioną szkodę. W każdym przypadku cyfrowa platforma pracy podejmuje niezbędne kroki, w tym w stosownych przypadkach dokonuje modyfikacji zautomatyzowanego systemu decyzyjnego lub zaprzestaje korzystania z niego, aby zapobiec takim decyzjom w przyszłości.

Z perspektywy ochrony interesów podmiotów danych istotny jest obowiązek zasięgnięcia przez cyfrowe platformy pracy opinii osób wykonujących pracę za pośrednictwem platform i ich przedstawicieli w procedurze oceny skutków dla ochrony danych, którą administrator ma obowiązek wykonać na podstawie art. 35 ust. 1 RODO. Ocena skutków dla ochrony danych (Data Protection Impact Assessment, DPIA) to proces szacowania wpływu planowanych operacji przetwarzania na ochronę danych^[8]. Proces ten ma pozwolić na podjęcie odpowiednich działań w celu wykluczenia lub zminimalizowania ewentualnego negatywnego wpływu tych procesów^[9]. Artykuł 8 ust. 1 dyrektywy nie wprowadza jakościowych modyfikacji obowiązku przeprowadzenia oceny skutków dla ochrony danych określonego w art. 35 RODO. Nowym elementem jest obowiązek przeprowadzania konsultacji z osobami wykonującymi pracę za pośrednictwem platform i ich przedstawicielami dokonywanej oceny skutków przetwarzania danych osobowych przez zautomatyzowane systemy monitorujące lub zautomatyzowane systemy decyzyjne dla ochrony danych osobowych osób wykonujących pracę za pośrednictwem platform, w tym dla ograniczeń przetwarzania określonych w art. 7 dyrektywy. Poza tym, zgodnie z art. 8 ust. 2 dyrektywy, cyfrowe platformy pracy prezentują ocenę skutków przedstawicielom pracowników. W mojej ocenie efektem tych działań będzie wzmocnienie realizacji zasady przejrzystości, ponieważ udostępnianie wiedzy dotyczącej oceny wpływu stosowania zautomatyzowanych systemów decyzyjnych na prawa i wolności pracowników może stanowić istotne narzędzie przeciwdziałania nadużyciom związanym z nadmiernym monitorowaniem pracy.

Zastosowanie algorytmicznego zarządzania często prowadzi do asymetrii informacyjnej między pracownikami a platformami, co w istocie utrudnia lub nawet uniemożliwia pracownikom dochodzenie swoich praw (zob. szerzej Latos-Miłkowska, Kibil 2024, 154 i n.). Dlatego nowe regulacje wymagają od platform zapewnienia dostępu do informacji o tym, jak algorytmy wpływają na ich warunki pracy oraz decyzje dotyczące zatrudnienia. Pracownicy muszą mieć także prawo do weryfikacji i poprawy nieprawidłowych danych dotyczących ich pracy. Realizację zasady przejrzystości w odniesieniu do zautomatyzowanych systemów monitorujących i zautomatyzowanych systemów decyzyjnych zapewnia art. 9 dyrektywy. Przepis nakłada obowiązek informowania przez cyfrowe platformy pracy osób wykonujących pracę za pośrednictwem platform, przedstawicieli pracowników platform oraz – na żądanie – właściwych organów krajowych (jak również osób przechodzących procedurę rekrutacji lub wyboru) o korzystaniu ze zautomatyzowanych systemów monitorujących lub zautomatyzowanych systemów decyzyjnych. Realizacja obowiązku przekazania informacji ma nastąpić w określonych terminach, w pisemnym dokumencie, który może mieć formę elektroniczną, a same informacje powinny być przedstawiane w przejrzystej, zrozumiałej i łatwo dostępnej formie, z użyciem jasnego i prostego języka. Wymogi te wpisują się w zasadę przejrzystości i korespondują z dyrektywami dotyczącymi prowadzenia transparentnej komunikacji pomiędzy administratorem a podmiotem danych w rozumieniu art. 12 RODO. W konsekwencji ich interpretacja powinna być spójna z ustaleniami doktryny i orzecznictwa sądowego dokonanymi na gruncie przedmiotowego przepisu.

Biorąc pod uwagę specyfikę pracy i dużą mobilność pracowników platformowych, warto dostrzec na gruncie art. 9 ust. 6 dyrektywy rozszerzenie prawa do przenoszenia danych przysługujące podmiotom danych na podstawie art. 20 RODO. Artykuł 9 ust. 6 dyrektywy wskazuje, że osoby wykonujące pracę za pośrednictwem platform mają prawo do przenoszenia danych osobowych wygenerowanych podczas wykonywania przez nie pracy w kontekście zautomatyzowanych systemów monitorujących lub zautomatyzowanych systemów decyzyjnych cyfrowej platformy pracy, w tym ocen i opinii, bez niekorzystnego wpływu na prawa usługobiorców na podstawie RODO. Z kolei cyfrowa platforma pracy jest zobowiązana do nieodpłatnego zapewnienia osobom wykonującym pracę za pośrednictwem platform narzędzi ułatwiających im skuteczne korzystanie z praw do przenoszenia danych, o których mowa w art. 20 RODO i art. 9 ust. 6 dyrektywy. Na żądanie osoby wykonującej pracę cyfrowa platforma pracy przekazuje takie dane osobowe bezpośrednio osobie trzeciej. Oznacza to, że osoba zatrudniona ma zapewnione prawo do otrzymywania dotyczących jej danych osobowych, zarówno tych, które dostarczyła administratorowi, jak i tych, które zostały wygenerowane w związku z zastosowaniem zautomatyzowanych systemów monitorujących lub zautomatyzowanych systemów decyzyjnych, w ustrukturyzowanym, powszechnie używanym, nadającym się do odczytu maszynowego i interoperacyjnym formacie oraz przesyłania ich innemu administratorowi^[10].

Brak wiedzy pracowników na temat zasad działania algorytmów stanowi istotną przeszkodę w dochodzeniu roszczeń i praw. Osoby zatrudnione na platformach często nie są w stanie zrozumieć, dlaczego otrzymują mniej zleceń lub są oceniane w określony sposób, co utrudnia im kwestionowanie decyzji platform. Aby przeciwdziałać tym problemom, dyrektywa wprowadza wymóg regularnego konsultowania zmian w algorytmach z przedstawicielami pracowników oraz obowiązek umożliwienia ludzkiej interwencji w procesy decyzyjne algorytmów. Na mocy art. 10 dyrektywy cyfrowe platformy pracy są zobowiązane do prowadzenia nadzoru i regularnej ewaluacji (co dwa lata) dokonywanej z udziałem przedstawicieli pracowników, wpływu indywidualnych decyzji podejmowanych lub wspieranych przez zautomatyzowane systemy monitorujące i zautomatyzowane systemy decyzyjne na osoby wykonujące pracę za pośrednictwem platform, w tym w stosownym przypadku na ich warunki pracy i równe traktowanie w pracy. Przepis ten dotyczy fundamentalnej kwestii zapewnienia profesjonalnego ludzkiego nadzoru nad zautomatyzowanymi systemami monitorującymi i zautomatyzowanymi systemami decyzyjnymi w celu ograniczenia ryzyka dyskryminacji, przy czym osoby, którym cyfrowa platforma pracy powierzy funkcję nadzoru i oceny, muszą posiadać kompetencje, wyszkolenie i uprawnienia niezbędne do wykonywania tej funkcji, w tym do uchylania automatycznych decyzji. Z uwagi na charakter pełnionej funkcji, która będzie wymagać pewnej autonomii i gwarancji ochrony zatrudnienia, art. 10 ust. 2 dyrektywy zapewnia im ochronę przed zwolnieniem lub środkami równoważnymi, środkami dyscyplinarnymi i innym niekorzystnym traktowaniem w związku z wykonywanymi przez nie funkcjami.

W rozważaniach pomijam, ze względu na ramy objętości artykułu, ważne z punktu widzenia ochrony danych osobowych uprawnienia dotyczące środków ochrony prawnej osób wykonujących pracę za pośrednictwem platform, w szczególności prawo do bezstronnego rozstrzygania sporów oraz prawo dochodzenia roszczeń, w tym odpowiedniego odszkodowania za poniesioną szkodę. Stanowią one ważny mechanizm wzmacniania sytuacji prawnej pracowników platform, wymagający odrębnej refleksji naukowej.

W podsumowaniu można stwierdzić, że na gruncie dyrektywy 2024/2831 doszło do rozbudowania przepisów mających charakter gwarancyjny, co implikuje przede wszystkim rozszerzenie katalogu informacji, do których przekazywania zobowiązano administratorów. Z kolei dysponowanie odpowiednim zasobem informacji przez osoby, których dane dotyczą, jest warunkiem niezbędnym sprawowania faktycznej kontroli nad danymi, zmniejsza ryzyko nadużyć ze strony administratorów, a także pozwala na realne korzystanie z narzędzi ochrony prawnej. Odnosząc to do standardów wyznaczonych przez RODO, należy wskazać, że tutaj prawodawca europejski idzie o krok dalej, zwracając uwagę na konieczność uświadomienia podmiotom danych, jakie są zasady i konsekwencje przetwarzania danych osobowych przez cyfrową platformę pracy za pomocą zautomatyzowanych systemów monitorujących lub zautomatyzowanych systemów decyzyjnych, jakie ryzyka się z nim wiążą, jakie zabezpieczenia w tym przedmiocie powinny być stosowane. Pozytywnie należy ocenić regulacje dyrektywy dotyczące informowania i przeprowadzania konsultacji z pracownikami lub przedstawicielstwem pracowników w szczególnie newralgicznych obszarach przetwarzania danych osobowych przez platformy (zwłaszcza z odwołaniem się do dyrektywy 2002/14/WE Parlamentu Europejskiego i Rady z dnia 11 marca 2002 r. ustanawiającej ogólne ramowe warunki informowania i przeprowadzania konsultacji z pracownikami we Wspólnocie Europejskiej, Dz. Urz. UE L 2002.80.29 z dnia 23 marca 2002 r.), jednakże na gruncie krajowym będzie to wymagało wzmocnienia ich pozycji^[11].

Mechanizm ochrony danych osobowych wprowadzony przez dyrektywę jest więc kluczowym elementem wzmacniania pozycji pracowników platformowych w gospodarce, służąc również realizacji ochronnej funkcji społecznej osób zatrudnionych na platformach. W tym celu prawodawca unijny posłużył się dość zróżnicowanym instrumentarium, nakładając określone obowiązki na platformy cyfrowe, angażując zatrudnionych i ich przedstawicieli w procesy przetwarzania danych osobowych, zapewniając szersze środki ochrony prawnej. Należy też stwierdzić, że jej regulacje zmierzają przede wszystkim do zapewnienia spójności przetwarzania danych osobowych przez platformy cyfrowe z zasadami określonymi w art. 5 RODO, przede wszystkim z zasadą przejrzystości, która ma szczególne znaczenie dla osób zatrudnionych w stosunkach prawnych stanowiących podstawę wykonywania pracy, które charakteryzują się podporządkowaniem technologicznym. Respektowanie tej zasady otwiera podmiotowi danych realizację nie tylko innych praw wpisujących się w autonomię informacyjną, ale także uprawnień przysługujących pracownikom w zakresie korzystania ze środków ochrony prawnej z płaszczyzny prawa pracy i przepisów dotyczących ochrony danych osobowych.

^* Arleta Nerka

Akademia Leona Koźmińskiego w Warszawie, arletan@kozminski.edu.pl

Funding information

Not applicable.

Conflicts of interests

None.

Ethical considerations

The Authors assure of no violations of publication ethics and take full responsibility for the content of the publication.

BIBLIOGRAFIA

Bąba, Michał. 2022. „O prywatności zatrudnionych w świecie pracy ery technologicznej”. Roczniki Administracji i Prawa 3(22): 201–216. https://doi.org/10.5604/01.3001.0016.2415

Bąba, Michał. 2024. „Technologiczne uwarunkowania kierownictwa – w drodze ku nowej mechanice władztwa pracodawcy”. Praca i Zabezpieczenie Społeczne 1: 22–32. https://doi.org/10.33226/0032-6186.2024.1.4

Chesalina, Olga. 2021. „Platform Work: Critical Assessment of Empirical Findings and its Implications for Social Security”. W Social Law 4.0. New Approaches for Ensuring and Financing Social Security in the Digital Age. 39–72. Red. Ulrich Becker, Olga Chesalina. Baden-Baden: Nomos. https://doi.org/10.5771/9783748912002-39

Foresight on new and emerging occupational safety and health risks associated with digitalisation by 2025, EU-OSHA, 2018/29.

Kuba, Magdalena. 2020. „Zasada przejrzystości przetwarzania danych osobowych jako instrument ochrony autonomii informacyjnej pracownika”. Monitor Prawa Pracy 12: 16–20.

Lach, Daniel Eryk. 2023. „System motywacyjny platformy online jako instrument kierownictwa pracodawcy (wyrok niemieckiego Federalnego Sądu Pracy (BAG) z dnia 1 grudnia 2020 r., 9 AZR 102/20)”. Praca i Zabezpieczenie Społeczne 5: 33–41. https://doi.org/10.33226/0032-6186.2023.5.9

Latos-Miłkowska, Monika. Michał Kibil. 2024. „Czy jesteśmy gotowi na sztuczną inteligencję w zatrudnieniu?”. Studia z Zakresu Prawa Pracy i Polityki Społecznej 31(3): 153–166. https://doi.org/10.4467/25444654SPP.24.013.19925

Mirosławski, Tomasz. 2023. „Platform work as a manifestation of a new form of employment in the era of the fourth in dustrial evolution”. Z Problematyki Prawa Pracy i Polityki Socjalnej 4: 1–16. https://doi.org/10.31261/zpppips.2023.21.07

Mrózek, Andrzej. 1981. Ustawowe prawo ochrony danych. Analiza prawnoporównawcza. Toruń: Uniwersytet Mikołaja Kopernika.

Naumowicz, Kamila. 2022. „Status prawny osób zatrudnionych za pośrednictwem platform internetowych – w poszukiwaniu modelu ochrony”. Acta Universitatis Lodziensis. Folia Iuridica 101: 95–103. https://doi.org/10.18778/0208-6069.101.07

Nerka, Arleta. 2018. „Komentarz do art. 88”. W Ogólne rozporządzenie o ochronie danych osobowych. Komentarz. 614–623. Red. Marlena Sakowska-Baryła. Warszawa: C.H.Beck.

Nowik, Paweł. 2020. „Specyfika pracy na globalnych platformach internetowych w świetle zarządzania algorytmicznego”. Studia Prawnicze KUL 1: 269–292. https://doi.org/10.31743/sp.10637

Nowik, Paweł. 2024. „Big Data Analytics in the Algorithmic Management Process: The Case of Transport Platforms in the Gig Economy”. Acta Universitatis Lodziensis. Folia Iuridica 107: 21–39. https://doi.org/10.18778/0208-6069.107.02

Parent-Rocheleau, Xavier. Sharon K. Parker. 2022. „Algorithms as work designers: How algorithmic management influences the design of jobs”. Human Resource Management Review 32(3). https://doi.org/10.1016/j.hrmr.2021.100838

Rosenblat, Alex. Luke Stark. 2016. „Algorithmic Labor and Information Asymmetries: A Case Study of Uber’s Drivers”. International Journal of Communication 30(7): 3758–3784.

Świątkowski, Andrzej Marian. 2019. Elektroniczne technologie zatrudnienia ery postindustrialnej. Kraków: Wydawnictwo Naukowe Akademii Ignatianum.

Świątkowski, Andrzej Marian. 2021. „Algorytm administrowania pracą i ochrona danych osobowych pracowników zatrudnionych na platformach”. Przegląd Prawa Publicznego 2: 73–87.

Świątkowski, Andrzej Marian. 2022. „Projekt dyrektywy Parlamentu Europejskiego i Rady w sprawie poprawy warunków pracy za pośrednictwem platform internetowych”. Praca i Zabezpieczenie Społeczne 10: 33–41. https://doi.org/10.33226/0032-6186.2022.10.7

Todolí-Signes, Adrián. 2021. „The Evaluation of Workers by Customers as a Method of Control and Monitoring in the Firm: Digital Reputation and Data Protection”. International Labour Review 160(1): 65–83.

Wratny, Jerzy. Agata Ludera-Ruszel. 2020. New Forms of Employment. Current Problems and Future Challenges. Springer International Publishing. https://doi.org/10.1007/978-3-658-28511-1

Wyka, Teresa. 2007. „Konstytucyjne prawo każdego do bezpiecznych i higienicznych warunków pracy a zatrudnienie na innej podstawie niż stosunek pracy oraz praca na własny rachunek – uwagi de lege ferenda”. W Księga Jubileuszowa poświęcona Profesor Urszuli Jackowiak. Człowiek, obywatel, pracownik. Studia z zakresu prawa. 331–344. Red. Jakub Stelina, Alina Wypych-Żywicka. Sopot: Wydawnictwo Uniwersytetu Gdańskiego.

Wyka, Teresa. 2023. „Pojęcie i charakter zasady konstytucyjnej wynikającej z art. 66 Konstytucji”. W Zagadnienia prawa konstytucyjnego. Księga jubileuszowa dedykowana Profesorowi Krzysztofowi Skotnickiemu w siedemdziesiątą rocznicę urodzin. Tom I. 309–316. Red. Aldona Domańska. Łódź: Wydawnictwo Uniwersytetu Łódzkiego. https://doi.org/10.18778/8331-189-0.25

Akty prawne

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L z 2016 r., nr 119, s. 1).

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/1689 z dnia 13 czerwca 2024 r. w sprawie ustanowienia zharmonizowanych przepisów dotyczących sztucznej inteligencji oraz zmiany rozporządzeń (WE) 300/2008, (UE) 167/2013, (UE) 168/2013, (UE) 2018/858, (UE) 2018/1139 i (UE) 2019/2144 oraz dyrektyw 2014/90/UE, (UE) 2016/797 i (UE) 2020/1828 (akt w sprawie sztucznej inteligencji) (Dz. Urz. UE L z 2024 r., nr 1689).

Dyrektywa 2002/14/WE Parlamentu Europejskiego i Rady z dnia 11 marca 2002 r. ustanawiająca ogólne ramowe warunki informowania i przeprowadzania konsultacji z pracownikami we Wspólnocie Europejskiej (Dz. Urz. UE L z 2002 r., nr 80, poz. 29).

Dyrektywa Parlamentu Europejskiego i Rady UE 2024/2831 z dnia 23 października 2024 r. w sprawie poprawy warunków pracy za pośrednictwem platform (Dz. Urz. UE L 2024/2831).

Orzecznictwo

Wyrok Corte di Cassazione z dnia 24 stycznia 2020 r., sprawa nr 1663, https://www.lavorodirittieuropa.it/images/Cassazione_Foodora-.pdf (dostęp: 2.02.2025).

Wyrok Court de Cassation z dnia 28 listopada 2018 r., sprawa nr 137, https://www.courdecassation.fr/jurisprudence_2/chamber_sociale_576/1737_28_40778.html (dostęp: 2.02.2025).

Wyrok Court de Cassation z dnia 4 marca 2020 r., sprawa nr 374, https://www.courdecassation.fr/IMG/20200304_arret_uber_english.pdf (dostęp: 2.02.2025).

Wyrok Trybunału (pierwsza izba) z dnia 7 grudnia 2023 r. w sprawie C-634/21 (SCHUFA Holding) (Dz. Urz. UE C 2024/913).

Wyrok TS z dnia 6 listopada 2003 r., C-101/01, w sprawie Bodil Lindqvist, Zb. Orz. 2003, I-12971, No. 50.

PRZYPISY

1 Liczne są wypowiedzi doktryny wskazujące w zarysowanym kontekście na konieczność wzmocnienia działań w kierunku ochrony praw podstawowych człowieka (jako jeden z pierwszych pisał o tych problemach już w latach 80. A. Mrózek (1981, 5 i n.)).
2 Por. wyroki: francuskiego Court de Cassation: dot. kurierów (wyrok z dnia 28 listopada 2018 r., sprawa nr 137, https://www.courdecassation.fr/jurisprudence_2/chamber_sociale_576/1737_28_40778.html, dostęp: 2.02.2025), kierowców Ubera (wyrok z dnia 4 marca 2020 r., sprawa nr 374, https://www.courdecassation.fr/IMG/20200304_arret_uber_english.pdf, dostęp: 2.02.2025); włoskiego Corte di Cassazione (wyrok z dnia 24 stycznia 2020 r., sprawa nr 1663, https://www.lavorodirittieuropa.it/images/Cassazione_Foodora-.pdf, dostęp: 2.02.2025).
3 „Co daje zatrudnionym cyfryzacja środowiska pracy, stosowanie technologii algorytmicznych, przy czym chodzi tu o szerszą perspektywę skutków (entropia – nierówności), a nie doraźnych celów i korzyści (miara porządku) – pozbawia ich pracy, prywatności oraz ochrony, poddaje ich procesowi ciągłej kontroli i nadzoru, wzmaga stres i poczucie niepewności, ogranicza im czas wolny od pracy, obniża jakość ich życia, wypiera ich ze sfery zatrudnienia, likwiduje miejsca pracy, redukuje ich kompetencje do prostych, rutynowych, powtarzalnych czynności, osłabia związki zawodowe. Co przekazują zatrudnieni? Informacje, dane osobowe (wolność i prywatność, autonomię informacyjną)”. Najdobitniej o konsekwencjach: M. Bąba (2022, 201–216; 2024, 22–32); Foresight on new and emerging occupational safety and health risks associated with digitalisation by 2025, EU-OSHA, 2018/29.
4 Por. szerzej o zagadnieniach autonomii informacyjnej pracownika w kontekście zasady przejrzystości M. Kuba (2020, 16–20).
5 Motyw 18 preambuły AIA wskazuje, że pojęcie „systemu rozpoznawania emocji”, o którym mowa w niniejszym rozporządzeniu, należy zdefiniować jako system AI służący do rozpoznawania emocji lub zamiarów osób fizycznych na podstawie danych biometrycznych tych osób, lub wyciągania wniosków odnośnie do tych emocji lub zamiarów. Pojęcie to dotyczy emocji lub zamiarów, takich jak radość, smutek, złość, zdziwienie, obrzydzenie, zakłopotanie, podekscytowanie, wstyd, pogarda, satysfakcja i rozbawienie. Nie obejmuje ono stanów fizycznych, takich jak ból lub zmęczenie, a także systemów stosowanych do wykrywania poziomu zmęczenia zawodowych pilotów lub kierowców w celu zapobiegania wypadkom. Nie obejmuje ono również samego wykrywania łatwych do zauważenia form wyrazu, gestów lub ruchów, chyba że wykorzystuje się je do identyfikacji lub wnioskowania na temat emocji. Te formy wyrazu mogą obejmować podstawowe rodzaje wyrazu twarzy, takie jak grymas lub uśmiech, gesty, takie jak ruch rąk, ramion lub głowy, lub cechy głosu danej osoby, takie jak podniesiony ton lub szept.
6 Na marginesie należy przypomnieć, że prawo do niepodlegania zautomatyzowanym decyzjom nie ma charakteru absolutnego – przepisy RODO przewidują trzy sytuacje, w których to uprawnienie będzie wyłączone, czyli gdy decyzja, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu: a) jest niezbędna do zawarcia lub wykonania umowy między osobą, której dane dotyczą, a administratorem; b) jest dozwolona prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator i które przewiduje właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą; lub c) opiera się na wyraźnej zgodzie osoby, której dane dotyczą.
7 Wyrok Trybunału (pierwsza izba) z dnia 7 grudnia 2023 r. w sprawie C-634/21 (SCHUFA Holding), Dz. Urz. UE C 2024/913 z dnia 29 stycznia 2024 r. Pytanie, które niemiecki sąd krajowy zadał Trybunałowi Sprawiedliwości, dotyczyło tego, czy zautomatyzowane wyliczenie scoringu przez biuro informacji kredytowej stanowi zautomatyzowane podejmowanie decyzji w indywidualnych przypadkach w rozumieniu art. 22 RODO, jeżeli od scoringu (wartości prawdopodobieństwa) zależy w decydujący sposób, czy bank lub inna instytucja pożyczkowa udzieli kredytu czy pożyczki danemu konsumentowi. TSUE stwierdził, że jeżeli od wartości scoringu wyliczanego przez biuro informacji kredytowej zależy, czy instytucja pożyczkowa lub kredytowa udzieli konsumentowi pożyczki czy kredytu, to wyliczenie scoringu przez takie biuro informacji kredytowej (SCHUFA) należy uznać za całkowicie zautomatyzowane decyzje w rozumieniu art. 22 ust. 1 RODO.
8 Administrator, w roli którego występują cyfrowe platformy pracy, przed rozpoczęciem przetwarzania ma obowiązek dokonania oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych, jeżeli dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Istotą takich działań jest pogłębienie analizy wpływu planowanych procesów przetwarzania na podmioty danych, która jest już immanentną częścią analizy ryzyka, będącej podstawą wykonania obowiązków analitycznych wynikających z art. 24 czy 32 RODO.
9 Zob. Wytyczne Grupy Roboczej art. 29 dotyczące oceny skutków dla ochrony danych (DPIA) oraz ustalenia, czy przetwarzanie „z dużym prawdopodobieństwem może powodować wysokie ryzyko”, do celów rozporządzenia 2016/679 z dnia 4 kwietnia 2017 r. (17/EN WP 248).
10 W literaturze zwraca się uwagę, że na uregulowanie prawa do przenoszenia danych w odniesieniu do pracowników platformowych miały wpływ m.in. zwiększone koszty realizacji tego prawa, ograniczanie konkurencji przez platformy, por. Świątkowski 2021, 84.
11 Zob. rozważania tych zagadnień w odniesieniu do zakładowych organizacji związkowych: Latos-Miłkowska, Kibil 2024, 163 i n.