Vesti

H&M kažnjen sa 35,3 miliona evra zbog monitoringa zaposlenih

Dosadašnje iskustvo pokazalo nam je da mnoštvo poslodavaca prikuplja prekomeran broj podataka o svojim zaposlenima, kao i da su njihove aktivnosti često sprovedene suprotno principima zaštite podataka o ličnosti. Neretko se dešava da su poslodavci indiferentni prema zakonskim odredbama koje se tiču zaštite privatnosti zaposlenih, te ne ispunjavaju ni osnovne obaveze, što još uvek prolazi nezapaženo u uslovima nedovoljne informisanosti zaposlenih.

Tešku povredu prava na privatnost zaposlenih učinio je i lanac modnih prodavnica H&M (Hennes & Mauritz) u Nemačkoj, koga je početkom oktobra ove godine nadležni Poverenik za zaštitu podataka o ličnosti i slobodu informisanja obavezao na plaćanje novčane kazne zbog nezakonite obrade podataka o ličnosti. Iznos kazne od neverovatnih 35,3 miliona evra je po visini na drugom mestu do sada izrečenih kazni za kršenje GDPR, odmah iza kazne izrečene kompaniji Google 2019. godine u Francuskoj.

Primer H&M treba da bude važna lekcija i za poslodavce u Srbiji, imajući u vidu da je u avgustu 2019. godine počeo da se primenjuje Zakon o zaštiti podataka o ličnosti, koji u najvećoj meri predstavlja repliku Opšte uredbe EU o zaštiti podatka o ličnosti (GDPR). Novi Zakon postavlja visok standard zaštite podataka o ličnosti koga moraju da se pridržavaju svi poslodavci u odnosu na podatke koje prikupljanju od zaposlenih, baš kao i poslodavci u okviru EU. Dakle, ponavljanje grešaka H&M ili uopšte zanemarivanje zakonskih obaveza sigurno može dovesti do teških sankcija i kompromitovanja reputacije domaćih poslodavaca.

Kako je bolje učiti na tuđim greškama, verujemo da primer aktuelne situacije sa H&M nosi važnu pouku za poslodavce u Srbiji. 

Koje podatke o zaposlenima je prikupljao H&M?

Rezultati istrage hamburškog Poverenika su zabrinjavajući: utvrđeno je da su tokom godina prikupljeni brojni podaci o ličnosti koji se odnose na više stotina zaposlenih u glavnom korisničkom centru H&M-a u Nirnbergu. Između ostalog, otkriveno je da je ova kompanija u svojim bazama čuvala podatke o privatnim životima svojih zaposlenih: o njihovom porodičnom statusu, religijskom opredeljenju, boravcima u inostranstvu, pa čak i o zdravstvenom stanju, istoriji bolesti i postavljenim dijagnozama. Ni detalji o avanturama na putovanjima ili simptomima bolesti po povratku iz inostranstva nisu prošli neprimećeno, već su i oni beleženi „za svaki slučaj“. Štaviše, evidencije o određenim podacima vođene su u kontinuitetu, te su s vremena na vreme ažurirane novim informacijama, na taj način prateći razvoj pojedinih životnih situacija zaposlenih lica.

Informacije su prikupljane najčešće pomoću takozvanih „razgovora dobrodošlice“ koje su rukovodioci organizovali nakon povratka zaposlenih lica sa bolovanja ili godišnjih odmora. Pored toga, zaposleni su veliki broj privatnih detalja o sebi i svojim porodicama iznosili i prilikom svakodnevnih, nezvaničnih razgovora sa nadređenima, a ono što nisu znali je da su tako iznete informacije beležene i trajno čuvane u elektronskoj formi na cloud serveru H&M-a. Tako formiranim bazama podataka pristup imalo ponekad i preko 50 menadžera u okviru kompanije. 

Kako je ustanovljeno koje podatke H&M sakuplja?

Nezakonito postupanje drugog najvećeg proizvođača odeće u svetu otkriveno je nakon što su u oktobru 2019. godine prikupljeni podaci postali dostupni javnosti na nekoliko sati, usled napada na sistem H&M-a. Po saznanju da je došlo do otkrivanja poverljivih informacija, Poverenik je izdao naredbu za „zamrzavanje“ elektronske baze podataka kompanije, nakon čega je upućen zahtev kompaniji da dostavi Povereniku sve informacije iz baze radi njihove procene. Analiza preko 60 gigabajta podataka trajala je skoro godinu dana, a na osnovu rezultata ustanovljeno je da od 2014. godine H&M vodi veoma opširnu evidenciju podataka o privatnim životima zaposlenih, na taj način grubo zadirući u njihovu privatnost.

Ipak, nije teško zamislivo da su podaci o ovakvoj praksi H&M mogli postati poznati javnosti i na drugi način. Često se dešava da se zaposleni, koji ima saznanja o protivpravnom postupanju poslodavca, obrati nadležnim organima (nekad i u svojstvu uzbunjivača) ili traži zaštitu svojih prava u sudskom postupku u svojstvu tužioca. U Dizeldorfu je nedavno sud u radnom sporu dosudio zaposlenom iznos od 5.000 evra na račun poslodavca zbog kašnjenja i propusta u omogućavanju zaposlenom da pristupi svojim podacima kod poslodavca u skladu sa GDPR.

Kako je H&M koristio podatke o zaposlenima?

Na osnovu privatnih informacija do kojih su rukovodioci H&M-a došli tokom vremena vršene su, između ostalog, detaljne procene rada pojedinačnih zaposlenih, kao i njihovo profilisanje. Naročito je alarmantna činjenica da su prikupljeni podaci direktno uticali na odluke o pitanjima u vezi sa radnim odnosima zaposlenih, kao i da su potencijalno doveli do sprovođenja različitih mera usmerenih prema zaposlenim licima. 

Koje posledice trpi H&M?

Hamburški Poverenik je u zvaničnom saopštenju za medije utvrdio da prikupljanje podataka o privatnom životu zaposlenih, u kombinaciji sa njihovim beleženjem i čuvanjem, predstavlja ozbiljno zadiranje u građanska prava lica na koje se podaci odnose. Prema rečima ovog organa, slučaj H&M-a je do sada neviđen primer postupanja jedne kompanije koje za posledicu ima incident u oblasti zaštite podataka o ličnosti.

Izrečenu kaznu od 35,3 miliona Poverenik je procenio kao srazmernu, prikladnu i odgovarajuću, a naročito sa ciljem budućeg preventivnog delovanja na druge kompanije u pogledu kršenja prava ličnosti svojih zaposlenih.

Šteta za reputaciju H&M kako u odnosu na zaposlene tako i u odnosu na potrošače u ovom momentu je nesaglediva.

Na internet stranici H&M-a kompanija je javno prihvatila odgovornost za uočene nezakonitosti i obavestila javnost o konkretnim radnjama preduzetim u tom pravcu. Jedna od mera kontrole štete po reputaciju je i odluka o isplati novčane naknade svim zaposlenima koji su bili u radnom odnosu u kompaniji najmanje jedan mesec od maja 2018. godine, kada je GDPR stupio na snagu.

Koja je pouka za poslodavce u Srbiji?

Nedovoljna informisanost u pogledu zaštite podataka o ličnosti na radnom mestu može dovesti do kršenja prava zaposlenih, te je neophodno na vreme se informisati, kako bi se blagovremeno izbegla sudbina koja je zadesila H&M.

Samo neke od osnovnih obaveza poslodavaca su:

1. Mapiranje podataka – podrazumeva proces identifikacije svih vrsta podataka koji se obrađuju, svrhe zbog koje se obrađuju i ustanovljavanja pravnog osnova obrade.

2. Kompletno revidiranje potencijalno problematičnih obrada podataka i prilagođavanje/uvođenje procedura.

3. Adekvatno obaveštavanje zaposlenih o podacima koje prikupljaju, načinima obrade, svrsi, pravnom osnovu, roku čuvanja podataka, licima sa kojima dele podatke i svim drugim obaveznim informacijama. 

4. Periodična organizacija treninga HR osoblja i menadžmenta o usklađenosti sa Zakonom o zaštiti podataka o ličnosti.

5. Uvođenje strogih pravila kontrole pristupa podacima o ličnosti zaposlenih.

6. Jasno razdvajanje privatnih aktivnosti zaposlenih od poslovnih.

Poslodavci moraju imati u vidu da im pandemija ne omogućava da uvedu ograničenja prava na privatnost niti da zanemare svoje zakonske obaveze. 

Tekst je prvobitno objavljen na sajtu Advokatske kancelarije Žunić

Povezani sadržaj

Kakva nam je digitalna higijena i kako je unaprediti

Tokom dvonedeljne kampanje sa upitnicima o digitalnoj higijeni, pokušali smo da saznamo nešto više o navikama naših pratilaca na Tviteru i Instagramu, ali i da samim pitanjima i ponuđenim odgovorima ukažemo na ponašanje koje utiče na privatnost i bezbednost na internetu. Za rezultate posetite Tviter niz ili izdvojeno ‘higijena’ na našem Instagram nalogu. Više saveta kako da budete […]

Život posle Instagrama

Nisam optimista u pogledu naše budućnosti na Inѕtаgrаmu i uopšte ne znam ima li života posle Instagrama. Ono što sigurno znam jeste da se naša sećanja skladište u hladnim, tamnim data centrima, koji bi jednog dana mogli da postanu njihove grobnice čekajući nekog novog Indijanu Džounsa da zarobljene oslobodi kletve. Sedim u jednom kafiću u centru Berlina, […]

Predstavnik

Google je među prvim gigantima ekonomije podataka koji su odredili svog predstavnika u Srbiji. Kako je izgledao taj proces i zašto je to važno za građane u jednoj zemlji van EU? Uhvati Dan (Radio Beograd) 161219 | Обрати пажњу!: Фејсбук и Гугл своје кориснике широм света не третирају једнако | Jutarnji Program RTS 191219: Može […]