Nadzór nad pracownikami w Metaverse: Wyzwania ochrony danych osobowych i prywatności

Głównym celem pracy magisterskiej jest przedstawienie wyzwań ochrony danych osobowych i prywatności związanych z wykonywaniem pracy zdalnej w scentralizowanym metaverse. Skala nadzoru nad pracownikami wzrosła w trakcie pandemii COVID-19, która spowodowała m.in konieczność implementacji różnych narzędzi pracy zdalnej. Prywatne przedsiębiorstwa rozpoczęły wirtualną ekspansję, zakładając cyfrowe biura w metaverse. Dostępność narzędzi, których celem jest nie tylko umożliwienie pracy zdalnej, ale również kontrola nad pracownikami spowodowały odwrócenie paradygmatu i uczyniły nadzór nad pracownikami domyślną zasadą. Główną metodą analizy prawa w pracy magisterskiej jest metoda formalno-dogmatyczna. Praca skoncentrowana jest na Rozporządzeniu Parlamentu Europejskiego i Rady (EU) 2016/679 z dnia 27 kwietnia 2016 r., które stanowi jeden z najważniejszych aktów unijnych w tej dziedzinie. Inne akty prawne zostały przedstawione tylko w zakresie, w jakim wpływają na jego interpretację lub zakres zastosowania. Praca magisterka porusza zagadnienia możliwych rozwiązań o charakterze prewencyjnym, które pozwalają zapobiec uporczywemu nadzorowi nad pracownikami z perspektywy zasady przejrzystości i minimalizacji danych osobowych. Wywód został wsparty analizą decyzji niezależnych organów nadzorczych, jak i orzecznictwem Trybunału Sprawiedliwości Unii Europejskiej i Europejskiego Trybunału Praw Człowieka. W pierwszym rozdziale pracy magisterskiej przedstawiłam problematykę scentralizowanego metaverse i ryzyko związane z podwójnym nadzorem nad pracownikami, zarówno z perspektywy pracodawcy, jak i dostawcy danego metaverse. Dodatkowo podstawowe pojęcia związane z powstaniem i funkcjonowaniem metaverse, niezbędne z perspektywy dalszej analizy, zostały poruszone. Wprowadziłam także rozróżnienie na dwa podstawowe modele metaverse, t. j. scentralizowany i zdecentralizowany, które niosą różne rodzaje wyzwań i korzyści dla użytkowników. W pracy została przedstawiona problematyka ochrony danych osobowych pracowników wyłącznie w scentralizowanym metaverse. W dalszej części rozdziału podejmuję próbę wyjaśnienia wyzwań, które może przynieść metaverse dla ciągłego nadzoru nad pracownikami. W drugim rozdziale przedstawiam uwarunkowania prawne ochrony danych osobowych pracowników w metaverse, w tym podstawowe pojęcia ochrony danych osobowych, podstawy przetwarzania danych osobowych oraz role administratora i podmiotu przetwarzającego. Wyjaśniam również wyzwania związane z ochroną danych osobowych w scentralizowanym metaverse, w szczególności w kwestii dostarczania spersonalizowanych treści dla pracowników lub przetwarzania ich danych osobowych przez strony trzecie. W trzecim rozdziale, z perspektywy zasady minimalizacji danych analizuję wykorzystanie technologii monitorowania pracowników, zbierania dużych ilości danych osobowych i łączenia zbiorów danych. W ostatnim rozdziale przedstawiam konsekwencje zasady przejrzystości przetwarzania danych osobowych dla ukrytego nadzoru nad pracownikami w środowisku pracy cyfrowej. Ponadto rozważam rosnący wpływ Europejskiego Trybunału Praw Człowieka na interpretację prawa unijnego w zakresie ukrytego monitoringu pracowników.

The main objective of the Master’s thesis is to examine the risks and challenges associated with working in virtual offices in the centralized metaverse from the standpoint of the right to private life and data protection. The surveillance of employees increased during the COVID-19 pandemic. Along with remote work, new tools were developed, enabling the employer to implement intrusive surveillance measures. The virtual offices of businesses started to be established in the metaverse. Metaverse, which is fuelled by both personal and non-personal data, has the power to shift the paradigms and make surveillance in the workplace the rule rather than the exception. Metaverse providers have most of the control over employees’ personal data in the virtual office. The predominant method employed in the Master’s thesis is the formal-dogmatic method of legal analysis. The General Data Protection Regulation, which is the cornerstone of the European data protection law, is the subject of major consideration. Insofar as it affects the General Data Protection Regulation’s scope, the Digital Services Package is discussed. My thesis is focused on the preventive measures that can be taken to combat surveillance in the metaverse virtual office in light of data minimisation and transparency principles. The analysis will be supported by decisions of data protection authorities from various Member States as well as the case-law of the European Court of Human Rights and the Court of Justice of the EU. The empirical examples from privacy notices and privacy policies of centralised metaverse providers fulfil the illustrative role. In the first chapter, I focus on the notions of the centralized metaverse and the possible threats of double surveillance in the metaverse virtual office. In order to provide a coherent interpretation of the term “metaverse” throughout the thesis, the first chapter introduces the key metaverse-related concepts. I distinguish between two basic models of the metaverse, namely the centralized and the decentralized model. They both provide distinct opportunities and pose various kinds of concerns. Due to the limitations of the thesis, I focus exclusively on the centralized model of metaverse. I discuss the concept of virtual office in the metaverse and its use-cases. Then, I continue by explaining the potential for double surveillance in the virtual metaverse office, either by the employer or the metaverse provider. In the second chapter, the legal framework for the protection of the employees’ personal data in the metaverse is presented. The key terms related to the protection of personal data under the GDPR are explained, together with data protection principles. Along with the legal basis for the employees’ data processing, the legal relations between the employer and the metaverse provider are considered. Finally, the possible threats brought by the metaverse providers are addressed including the delivery of behavioural content to the employees and the processing their personal data by third parties for commercial purposes. The third chapter describes the principle of data minimisation under the GDPR, in particular, the use of intrusive technologies and the collection of vast amounts of personal data in virtual offices; and combining datasets. In the end, the examples of data minimisation principle violation decided by data protection authorities were presented. In the final chapter, I analyse the implication of the principle of transparency under the General Data Protection Regulation on secret surveillance in the workplace, especially in a digital environment. I discuss the increasing role of the European Court of Human Rights judiciary in the interpretation of the GDPR.