Povaha pracovněprávního vztahu
Pracovněprávní vztah je typický nadřízeností zaměstnavatele a podřízeností zaměstnance. Zaměstnavatel přiděluje zaměstnanci práci a určuje podmínky, za nichž má být vykonávána. Zaměstnanec je při výkonu práce povinen postupovat podle stanovených pravidel. Pravidla jsou přitom uvedena nejen v zákoníku práce a dalších právních předpisech, ale vyplývají také z interních předpisů a pokynů zaměstnavatele.
Zaměstnancům je v § 301 zákoníku práce explicitně stanovena povinnost plnit pokyny svých nadřízených a postupovat při výkonu práce podle právních předpisů, resp. ostatních předpisů, se kterými byli seznámeni. Vedoucím zaměstnancům je pak v § 302 zákoníku práce mj. uloženo, aby řídili a kontrolovali práci podřízených a zabezpečovali dodržování právních a vnitřních předpisů.
Kontrola zaměstnanců nezbytně zahrnuje určitou míru ingerence do jejich práva na soukromí, které nezaniká ani při výkonu práce, a často též zpracování jejich osobních údajů. Pro nastavení pravidel a mezí kontroly zaměstnance tak musíme vyjít jak z pracovněprávních předpisů chránících soukromí zaměstnance, tak obecných pravidel pro zpracování osobních údajů, zejména obecného nařízení o ochraně osobních údajů (GDPR).[2][1]
Pravidla pro kontrolu zaměstnanců
Zákoník práce pravidla a meze kontroly definuje v § 316. Podle jeho druhého odstavce nesmí zaměstnavatel bez závažného důvodu spočívajícího ve zvláštní povaze jeho činnosti narušovat soukromí zaměstnance na pracovištích a ve společných prostorách zaměstnavatele tím, že je podrobuje otevřenému nebo skrytému sledování, odposlechu a záznamu jeho telefonických hovorů, kontrole elektronické pošty nebo kontrole jemu adresovaných listovních zásilek.
Pokud už zaměstnavatel zaměstnance monitoruje, je podle § 316 odst. 3 zákoníku práce povinen jej o rozsahu a způsobu kontroly přímo vyrozumět (např. ve vnitřním předpise, se kterým je zaměstnanec přímo a doložitelně seznámen).
Tato pravidla přímo dopadají i na monitorování a vyhodnocování toho, jak zaměstnanec při práci s výpočetní technikou (počítač, notebook, mobilní zařízení) využívá nástroje a služby umělé inteligence, jaká data do nich vkládá a jak s těmito nástroji komunikuje.
Svojí povahou totiž používání AI nástrojů představuje jistou formu komunikace mezi uživatelem a externím světem, ať už provozovatelem externího AI nástroje nebo jeho dalšími uživateli. Monitoring komunikace zaměstnance s AI nástrojem, vkládaných dat či reakcí na odpovědi tedy představuje jistou formu zásahu do soukromí zaměstnance.
Aby mohl zaměstnavatel zaměstnance monitorovat, musí být splněna zákonná podmínka, tj. že činnost zaměstnavatele musí mít specifickou, zvláštní povahu, ze které vyplývá legitimní a závažný důvod pro monitoring konkrétního zaměstnance. Jde-li o podmínku zvláštní povahy činnosti zaměstnavatele, neznamená to však, že by kontrolu mohli vykonávat jen někteří zaměstnavatelé. Právo kontroly má při splnění zákonných podmínek v zásadě každý zaměstnavatel.[3]
Toto pravidlo je navíc kogentní, tj. nelze se od něj odchýlit ani se souhlasem zaměstnance, který by dal například svolení k jeho sledování bez existence závažného důvodu. Takové ujednání by bylo neplatné.[4]
Zákoník práce je v této části zvláštním předpisem k obecné úpravě pravidel pro zpracování osobních údajů, které jsou obsaženy především v GDPR. I z tohoto pohledu tedy platí, že pokud monitoring zaměstnance zahrnuje zpracování osobních údajů, což je v praxi velmi běžné, uplatní se nejprve pravidla podle zákoníku práce a GDPR se aplikuje jen tehdy, pokud určitá povinnost či právo nejsou v zákoníku práce upraveny.
S ohledem na probírané téma se zákoník práce uplatní ve vymezení právního titulu (doložený oprávněný zájem správce a ne například souhlas) pro zpracování osobních údajů (dle § 316 odst. 2 zákoníku práce) a ve specifikaci plnění informační povinnosti vůči zaměstnanci (§ 316 odst. 3 zákoníku práce).
Ostatní principy GDPR, které zákoník práce specificky pro monitoring zaměstnanců neupravuje, se uplatní přímo, typicky princip účelového omezení (možnost využít získané osobní údaje pro další účely), princip minimalizace údajů nebo požadavky na zabezpečení a integritu takto získaných a dále zpracovávaných osobních údajů.
Jak nastavit kontrolu přiměřeně?
Jak již bylo uvedeno výše, zaměstnavatel má právo kontrolovat, zda zaměstnanci používají AI v souladu s nastavenými pravidly, tedy zejména jaké nástroje používají a jakým způsobem s nimi pracují. V případě neschválených AI nástrojů může jejich používání i technicky znemožnit, což lze z pohledu prevence rizik zpravidla doporučit.
Při nastavování kontrolních mechanismů je ale vždy potřeba hledat rovnováhu mezi oprávněným zájmem zaměstnavatele na straně jedné a právem zaměstnance na soukromí na straně druhé.
Z judikatury Evropského soudu pro lidská práva, zejména z rozhodnutí ve věcech Bărbulescu proti Rumunsku a López Ribalda a ostatní proti Španělsku , přitom vyplývá několik kritérií, podle nichž se posuzuje, zda je monitoring zaměstnanců přiměřený a slučitelný s jejich právem na soukromí. Pro potřeby kontroly využívání AI zaměstnanci lze tato kritéria zjednodušeně shrnout do tří základních otázek: proč zaměstnavatel kontrolu provádí, v jakém rozsahu ji provádí a zda o ní zaměstnance řádně informoval.[6][5]
Účel kontroly: relevantní důvod pro kontrolu
Každá kontrola by měla mít konkrétní a legitimní účel. U využívání AI ze strany zaměstnanců půjde typicky o ochranu důvěrných informací, např. osobních údajů, technické dokumentace, obchodního tajemství, know-how atd. Nestačí přitom jen obecné konstatování, že zaměstnavatel chce mít přehled, jak zaměstnanci s AI pracují. Čím intenzivnější zásah do soukromí zaměstnance má kontrola představovat, tím přesvědčivější a konkrétnější musí být důvod, který ji odůvodňuje.
To platí zejména tam, kde by kontrola měla zasahovat do samotného obsahu komunikace zaměstnance s AI nástrojem, tedy například do promptů, vkládaných dokumentů nebo odpovědí generovaných systémem. Přístup k obsahu komunikace je z povahy věci invazivnější než sledování samotného provozu nebo datových toků, a proto pro něj musí existovat závažnější důvod než pro obecnější formy kontroly.
Rozsah a přiměřenost: nejprve méně invazivní opatření
Vedle samotného důvodu kontroly je potřeba posoudit také její rozsah a intenzitu. Při nastavování kontrolních mechanismů je třeba zvažovat, zda sledovaného cíle nelze dosáhnout méně invazivními prostředky (tj. které do soukromí zaměstnance zasahují méně).
V běžném provozu může být přiměřené například sledování, jaké služby a nástroje jsou z firemních zařízení nebo sítí využívány, případně zda dochází k neobvyklému (neobvykle rozsáhlému) odesílání dat mimo organizaci, typicky pomocí DLP nástrojů nebo obdobných bezpečnostních mechanismů. Taková opatření mohou zaměstnavateli pomoci odhalit rizikové chování, aniž by plošně vstupoval do samotného obsahu komunikace zaměstnanců s AI nástroji.
Teprve v případě konkrétního podezření na porušení pravidel, bezpečnostní incident nebo neoprávněné nakládání s důvěrnými daty může být na místě přistoupit k detailnějšímu prověřování obsahu komunikace konkrétního zaměstnance.
Z pohledu přiměřenosti může hrát roli nejen to, zda byl sledován pouze tok komunikace nebo i její obsah, ale také to, zda bylo opatření časově omezené, jakého okruhu zaměstnanců se týkalo a kolik osob mělo přístup k výsledkům takové kontroly.
Transparentnost: zaměstnanec musí být informován přímo a předem
Zásadní podmínkou přípustnosti kontroly je také transparentnost vůči zaměstnanci. Jak vyplývá již z § 316 odst. 3 zákoníku práce, pokud zaměstnavatel zaměstnance monitoruje, musí jej o rozsahu a způsobu kontroly přímo vyrozumět. Zaměstnanec by měl být o možnosti kontroly informován předem a tak, aby rozuměl povaze přijatých opatření.
V kontextu využívání AI to znamená, že zaměstnavatel by měl zaměstnanci jasně sdělit nejen to, jaké AI nástroje jsou povoleny nebo zakázány a jak s nimi má pracovat, ale také zda a jak bude jejich používání kontrolováno. Zaměstnanec by měl vědět, zda zaměstnavatel sleduje jen obecný provoz a datové toky, nebo zda za určitých podmínek může přistoupit i k detailnějšímu prověření. Současně by mu mělo být zřejmé, k jakému účelu jsou údaje z monitoringu používány, kdo k nim může mít přístup a jaké důsledky může mít porušení pravidel.
Odpovídající záruky a využití získaných údajů
Součástí přiměřeně nastavené kontroly by měly být i odpovídající záruky pro zaměstnance. Zaměstnavatel by měl předem vymezit kdo bude mít k výsledkům monitoringu přístup, za jakých podmínek lze přistoupit k detailnějšímu prověřování a jak bude s takto získanými informacemi dále nakládáno. Stejně tak by mělo být zřejmé, jaké důsledky může mít porušení pravidel a pro jaké účely lze získané údaje použít.
Jak postupovat, když zaměstnanec poruší pravidla
Zjistí-li zaměstnavatel, že zaměstnanec porušil pravidla pro využívání AI, měl by na takovou situaci reagovat bez zbytečného odkladu. Reakce by však neměla být mechanická, ale měla by vycházet z povahy porušení, jeho závažnosti a možných dopadů na zaměstnavatele.
Prvním krokem by mělo být komplexní posouzení situace, zajištění důkazů a omezení dalších dopadů. Zaměstnavatel by měl zdokumentovat k jakému jednání došlo, jaká pravidla byla porušena a jaký důsledek to mělo nebo mohlo mít (např. únik důvěrných informací, porušení autorských práv). Současně je třeba přijmout bezprostřední nápravná opatření, například zablokovat přístup k určitému AI nástroji, interně vyhodnotit bezpečnostní incident nebo posoudit, zda nedošlo k porušení povinností podle předpisů o ochraně osobních údajů či kybernetické bezpečnosti.
Teprve následně je namístě řešit pracovněprávní důsledky. Podle okolností připadá v úvahu písemné upozornění na porušení povinností (tj. písemná výtka), a v závažnějších případech také výpověď nebo okamžité zrušení pracovního poměru. Vždy však bude záležet na všech okolnostech případu, zejména na intenzitě porušení ze strany zaměstnance.
Pro posouzení intenzity porušení přitom není rozhodující, jak určité jednání označí sám zaměstnavatel například v pracovním řádu nebo v interní směrnici o používání AI. V případě sporu o neplatnost rozvázání pracovního poměru intenzitu porušení posuzuje soud, který přihlíží například k osobě zaměstnance, jeho pracovnímu zařazení, dosavadnímu postoji k vykonávané práci, míře zavinění a důsledkům, které jeho jednání mělo.
Jinou situací bude použití neschváleného AI nástroje pro relativně nevýznamný úkol bez toho, aniž by zaměstnanec pracoval s důvěrnými údaji, a jinou vložení osobních údajů či obchodního tajemství do veřejně dostupného nástroje v rozporu s interními pravidly.
Vedle toho může zaměstnavatel za splnění zákonných podmínek uvažovat také o náhradě škody. Jak však bylo uvedeno již v prvním dílu tohoto seriálu, vymáhání vůči zaměstnanci má své limity, a nelze na ně proto spoléhat jako na hlavní nástroj řešení rizik spojených s porušováním AI pravidel.
Závěr
AI dnes představuje součást běžného provozu firem. První dva díly našeho seriálu ukázaly, jaká rizika s sebou nese její nekontrolované používání ze strany zaměstnanců, a proč je nutné na ni reagovat pravidly a odpovědností. Třetí díl k tomu doplňuje, že i samotná kontrola těchto pravidel musí mít jasné meze.
AI není nepřítelem zaměstnavatele; při vhodném nastavení může být naopak užitečným nástrojem pro zvýšení efektivity práce a zjednodušení každodenních procesů. Právě proto by její využívání nemělo zůstávat bez pravidel a bez kontroly, ale mělo by být aktivně řízeno.
Tento článek je třetím dílem z třídílného seriálu.
- Právní souvislosti a rizika spojená se Shadow AI
- Jak řešit Shadow AI v praxi?
- Kontrola využívání AI zaměstnanci
Srov. jeden z nosných judikátů Evropského soudu pro lidská práva (ESLP) k této otázce, konkrétně rozsudek ESLP ze dne 16.prosince 1992, Niemietz versus Německo, č. stížnosti 13710/88.[1]
Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů).[2]
ŠTEFKO, Martin. § 316 [Majetek zaměstnavatele; soukromí zaměstnance; nesouvisející informace]. In: BĚLINA, Miroslav, DRÁPAL, Ljubomír a kol. Zákoník práce. 4. vydání. Praha: C. H. Beck, 2023, s. 1401, marg. č. 11.[3]
Viz § 4a zákoníku práce. [4]
Bărbulescu proti Rumunsku, rozsudek Velkého senátu ESLP ze dne 5. září 2017, dostupný zde: https://eslp.nsoud.cz/vyber/15560/[5]
López Ribalda a ostatní proti Španělsku, rozsudek Velkého senátu ESLP ze dne 17. října 2019, dostupný odsud: https://mezisoudy.cz/databaze-judikatury/detail-rozhodnuti/1f71829a-717c-11ee-8ac4-cced40779481_lopez-ribalda-a-ostatni [6]
Diskuze k článku ()