Организации могут решить, что сбор данных поможет защитить сотрудников от Covid-19 на рабочих местах. Но работодателям следует учитывать последствия, которые это будет иметь для конфиденциальности и производительности труда, пишет вице-президент Gartner по исследованиям Барт Виллемсен на портале ComputerWeekly.

Допустим, работодатель решает не собирать никаких данных при использовании технологии для обеспечения социального дистанцирования в офисе и защиты сотрудников. Прежде всего он снабжает каждого работника новеньким индивидуальным термометром и просит каждое утро измерять температуру. Если тот решит, что не представляет опасности и может отправиться на работу, ему нужно только подтвердить при входе, что он здоров. Никаких записей, ничего не отслеживается. При повышенной температуре сотрудники могут работать удаленно, пока не почувствуют себя здоровыми. Никто не будет задавать им никаких вопросов.

Когда персонал впервые возвращается в офис, работодатель предоставляет также каждому личное носимое устройство. Такое устройство измеряет расстояние до другого устройства и при необходимости подает слабый звуковой сигнал в качестве напоминания о необходимости соблюдать социальную дистанцию. Устройства не собирают и не обрабатывают никакие данные. Благодаря этому обеспечиваются как безопасность, так и конфиденциальность не в ущерб друг другу. Хотя нахождение баланса безопасности, производительности и конфиденциальности (которые, казалось бы, противоречат друг другу) создает трудности для работодателя, имеются способы преодолеть их, не идя на компромиссы.

Возьмем, например, пару конфиденциальность и безопасность. Поиск компромиссного решения предполагает ответ на вопрос: насколько мы должны вторгнуться в сферу конфиденциальности, чтобы обеспечить определенный уровень безопасности? Такая постановка вопроса предполагает, что придется чем-то пожертвовать. А лучше было бы обойтись без этого.

Если при возвращении сотрудников в офис работодатель начинает собирать и обрабатывать данные, чтобы обеспечить и безопасность, и производительность труда, то возникает риск, связанный с тем, какие данные накапливаются и как они используются. В таком случае организации могут защитить сотрудников, одновременно управляя риском нарушения конфиденциальности.

Чем выше риск, тем важнее обосновать, что выбранное решение является действительно сбалансированным и пропорциональным тому риску, который мы оцениваем. Ниже приводятся шесть принципов, которыми следует руководствоваться при сборе данных о сотрудниках.

Целенаправленная обработка

Если вы решили собирать данные, позаботьтесь, чтобы это происходило с определенной целью. Например, вы можете решить, что необходимо хранить результаты ежедневного измерения температуры сотрудников, чтобы отслеживать тенденции и выявлять аномалии.

Возможно, у вас есть основания хранить исторические данные, но как долго? Если они используются только для отслеживания резких изменений, данные за прошедший месяц бесполезны, и их рекомендуется удалить. Точно так же, когда измерение температуры перестает быть обязательным или рекомендуемым, нет причин хранить результаты измерения.

Как только данные выполнили свою функцию, исчезают основания для их сбора и хранения.

Обычная практика такова. Когда данные больше не представляют для организации никакой ценности и регулятор не обязывает хранить их, принимается решение о минимизации риска, которые представляют эти данные для конфиденциальности пользователей.

Хотя вопросы конфиденциальности часто побуждают «делать правильные вещи» в интересах субъекта данных, такие правила, как GDPR, налагают за это огромные штрафы. В результате все, что хорошо для конфиденциальности отдельных лиц, становится столь же хорошо для компании.

При оценке ваших данных, чтобы лучше проверить, что остается и что уходит, подсчитайте фактическую пользу, которую данные приносят организации (реальную, а не потенциальную), и какие финансовые риски они несут.

Пропорциональность

По умолчанию используйте наименее инвазивные меры, позволяющие достичь ваших целей. Если мера становится непропорциональна риску или если цели можно достичь другим способом, откажитесь от нее.

Наиболее безопасным способом контроля распространения коронавируса на рабочих местах является ежедневный анализ крови сотрудников. Однако в то же время это самый дорогой и самый инвазивный метод. Скорее всего, он вызовет негативную реакцию сотрудников, которые должны иметь право выбора. Недостаточно широкий охват персонала приведет к резкому снижению эффективности этого метода. Следует также напомнить, что пробы крови содержат ДНК, наиболее конфиденциальные сведения о человеке, сбор которых работодателем совершенно излишен.

Чем менее инвазивные меры вы применяете и чем менее конфиденциальными являются собираемые вами данные, тем слабее будет сопротивление, с которым вы столкнетесь, и тем меньше у вас будет проблем с соблюдением конфиденциальности.

Субсидиарность

Задайте себе вопрос, какой объем данных является достаточным? Можете ли вы достичь своей цели, обходясь меньшим объемом персональных данных или вообще без их обработки? Собирайте только минимальный объем.

Технологии отслеживания контактов могут собирать самые различные данные. Где находились люди, сколько времени там провели, с кем взаимодействовали, сколько раз устройство слежения включалось и выключалось. При использовании этих устройств вне офиса объем данных многократно возрастает. Фиксируются места отдыха, домашние адреса и адреса родственников, поездки на работу и т. д.

Как вы понимаете, такие технологии могут очень быстро развиваться и преднамеренно или случайно использоваться для мониторинга. Это может быть полезно для организации, но при этом пострадает конфиденциальность.

Приступая к сбору данных и выбирая метод их сбора, позаботьтесь, чтобы вы получали только те данные, которые действительно необходимы. При простом отслеживании контактов нет необходимости собирать множество других данных, хотя это, вероятно, возможно. Но это только усложнило бы управление и повысило риски. Главная заповедь: технологии сбора данных должны использовать целенаправленно.

Прозрачность и равенство

Ничего не делайте втайне. Персонал должен совершенно четко знать, какие данные вы собираете, с какой целью, кто имеет к ним доступ.

Если в условиях Covid-19 вы пересмотрели свои политики защиты данных, ознакомьте с ними сотрудников и широкую общественность. Это не только будет отчетом об использовании организацией новых персональных данных, но и повысит осведомленность сотрудников, а также позволит начать обсуждение проблемы конфиденциальности, изучать ее и задавать вопросы по этому поводу.

Принимаемые меры должны в равной степени касаться всех сотрудников, чтобы не было дискриминации. Совместно с HR следует понять потенциальную чувствительность представителей различных культур к осуществляемым мерам, чтобы технологии обеспечения безопасности и конфиденциальности были доступны всем, кто в них нуждается.

Решения с учетом риска

Принимайте решения с учетом тех рисков, которые пытаетесь смягчить. Не стесняйтесь их пересматривать, если изменятся обстоятельства. Главное — обеспечить безопасность сотрудников.

Когда они вернутся в офис, любое решение будет связано с определенным риском. Следование перечисленным принципам предоставляет работодателю возможность оценивать и смягчать риск нарушения конфиденциальности, принимать решения в зависимости от текущей ситуации и заново определять их целесообразность в случае изменения обстановки.