Efectele celei mai mari amenzi GDPR de anul acesta

Article Efectele celei mai mari amenzi GDPR de anul acesta primita de H&M | Decalex

Autoritatea pentru Protecția Datelor din Hamburg (HmbBfDI) a anunțat joi că a amendat H&M Germania cu 35 milioane de euro pentru încălcarea flagrantă a protecției datelor. 

Conform autoritatii germane, sancțiunea a vizat monitorizarea excesivă a câtorva sute de angajați de către una dintre filialele retailerului de îmbrăcăminte. 

Aceasta este cea mai mare amenda impusa de autoritatile de supraveghere din Europa în acest an, totodată fiind a doua cea mai mare sancțiune de la intrarea în vigoare a GDPR-ului. Google ocupă în continuare locul fruntaș în acest clasament, cu 57 de milioane de $, riscand însă sa fie detronata de sancțiunile împotriva  British Airways (230 milioane $) și Marriott International (110 milioane $), propuse în cursul anului trecut de autoritatea din Marea Britanie, dar care încă nu sunt definitive

Ce s-a întâmplat mai exact?

Încălcarea a fost descoperită în octombrie 2019, când informațiile sensibile, ce vizau angajații H&M ai filialei din Nürnberg, au devenit accesibile la nivelul întregii companii timp de câteva ore, din cauza unei erori de configurare. 

În urma anchetei, autoritatea de supraveghere din Hamburg a descoperit înregistrări ce vizau viața privată a angajaților ce datau încă din anul 2014.

 

Încălcările confidențialității au început în 2014. Acestea au inclus anchete ample ale personalului și stocarea informațiilor private, cum ar fi experiențe din vacante, simptome și diagnostice medicale. Unii manageri au căutat și alte detalii private în discuțiile informale, inclusiv probleme de familie sau convingeri religioase.  

Unele dintre aceste date au fost înregistrate, stocate digital și accesibile de unui număr de 50 de manageri din întreaga companie. 

Prin sancționarea H&M autoritatea germană vizează descurajarea acestor practici 

"Pe lângă o evaluare meticuloasă a performanței individuale a muncii, datele colectate în acest mod au fost utilizate, printre altele, pentru a obține un profil detaliat al angajaților pentru măsuri și decizii privind angajarea lor", a declarat autoritatea germană. „Combinația de colectare a detaliilor despre viața lor privată și înregistrarea activităților lor a dus la o încălcare deosebit de intensă a drepturilor civile ale angajaților.” 

„Acest caz documentează o nesocotire gravă a protecției datelor angajaților la sediul H&M din Nürnberg”, a  declarat  prof. Dr. Johannes Caspar, comisarul pentru protecția datelor și libertatea informației a autorității din Hamburg. „Valoarea amenzii aplicate este, prin urmare, adecvată și eficientă pentru a descuraja companiile să încalce viața privată a angajaților lor.” 

Reacția H&M

În ciuda valori mari a amenzii, autoritatea germană a lăudat transparenta companiei și „disponibilitatea de a le arăta celor afectați respectul și aprecierea pe care le merită ca angajați în munca lor zilnică pentru companie”

H&M a replicat printr-un comunicat publicat pe site-ul sau,  prin care și-a asumat întreaga responsabilitate, cerându-și scuze față de angajații afectati de aceasta prelucrare de date. 

Totodată, H&M a anunțat că a fost lansat un „plan de acțiune cuprinzător pentru îmbunătățirea practicilor de audit intern pentru a asigura respectarea confidențialității datelor, pentru a consolida cunoștințele de conducere pentru a asigura un mediu de lucru sigur și conform și pentru a continua să instruiască și să educe atât personalul, cât și liderii din acest domeniu.” 

Planul de acțiuni vizează următoarele aspecte:

  • Schimbări de personal la nivel de conducere la centrul de servicii din Nürnberg
  • Instruire suplimentară pentru top level management în ceea ce privește confidențialitatea datelor și dreptul muncii
  • Reinstruirea managerilor
  • Crearea unui nou rol cu ​​responsabilități specifice de audit, urmărire, educare și îmbunătățire continuă a proceselor de confidențialitate a datelor
  • Revizuirea proceselor de ștergere a datelor
  • Soluții IT îmbunătățite care susțin stocarea conformă a datelor cu caracter personal, instruire și leadership.

Mai mult, H&M a anunțat că toți cei angajați sediului din Nuremberg și toți cei care au fost angajați timp de cel puțin o lună de la intrarea în în vigoare a GDPR-ului, vor primi compensații financiare.

Deși autoritatea germană a catalogat eforturile de a restabili încrederea în companie ca fiind „în mod expres pozitive”, valoarea mare a amenzii este o declarație evidentă a importanței respectării vieții private a angajatului. 

Ce trebuie să știm despre monitorizarea angajaților

Monitorizarea angajatilor poate îmbrăca diferite forme în contextul dezvoltării tehnologice actuale: monitorizarea telefoanelor, a emailului, a activității pe internet, monitorizarea video, monitorizarea locației (GPS pe mașina) etc. 

De cele mai multe ori angajatorii considera ca sunt îndreptățiți să realizeze astfel de monitorizari, făra a lua în considerare intruziunea în viața privată a angajatului și fără a căuta în prealabil variante alternative de atingere a scopului urmărit.  

Angajații în schimb, pot considera monitorizarea lor la locul de muncă ca fiind intruzivă și doresc păstrarea unei “zone de intimitate” a vieții lor personale și în mediul de lucru.  

Aceste aspecte au dat naștere multor conflicte între angajați și angajatori de-a lungul timpului, în jurisprudența CEDO existând câteva cazuri de referință.  

Analizând aceste cazuri înțelegem că între interesele unui angajator și drepturile și libertățile fundamentale ale angajatului trebuie să existe un echilibru, care de cele mai multe ori se dovedește a fi foarte fragil.  

Cazul Copland v. United Kingdom - Cererea nr. 62617/00

O speță de pionierat în materia monitorizării angajaților o reprezintă cazul Copland vs. United Kingdom din data de 3 aprilie, 2007. Curtea Europeană a Drepturilor Omului a decis că Regatul Unit a nesocotit dreptul reclamantei Copland de a-i respecta viața privată și corespondența, prevăzut de Art. 8 al Convenției pentru Protecția Drepturilor Omului și a Libertăților Fundamentale, prin felul în care i-a monitorizat convorbirile telefonice, corespondență electronică și folosirea Internetului. Din motivarea Curții rezultă că un angajat se poate aștepta ca poșta sa electronică, convorbirile telefonice și modul în care folosește Internetul să nu fie monitorizate dacă nu a fost avertizat cu privire la aceasta în prealabil. Un aspect important în cadrul speței îl reprezintă faptul că fostul angajator al reclamantei Copland nu avea o politică prin care să anunțe angajații că se puteau aștepta la monitorizări. 

În aceeași speță, Curtea a precizat expres că nu exclude ca monitorizarea unui salariat, sub aspectul folosirii de către acesta la locul de muncă a telefonului, poștei electronice sau internetului, să poată fi considerată  „necesară într-o societate democratică” în anumite situații ce vizează urmărirea unui interes legitim. Curtea a lăsat astfel ușa deschisă pentru monitorizarea comunicatiilor salariaților fără a clarifica împrejurările în care aceasta ar fi acceptabilă. 

Cazul LÓPEZ RIBALDA AND OTHERS v. SPAIN  - Cerera nr. 1874/13 și 8567/13

În cazul Ribalda & Ors versus Spania (2018), cinci casieri de la un supermarket acuzați de furt au susținut că supravegherea video inițiată de angajator, efectuată sub acoperire și fără informarea lor prealabilă, le-a încălcat dreptul la viața privată.  Temeiul invocat nu a fost GDPR, ci articolul 8 din Convenția Europeană a Drepturilor Omului. CEDO a remarcat că angajatorul și-a anunțat angajații numai cu privire la instalarea unor camere video vizibile, nu și a altor camere de luat vederi ascunse. În acest caz Curtea a decis că protejarea proprietății (pe baza suspiciunii de furt) ar trebui să utilizeze alte metode cu un impact mai redus asupra vieții private a lucrătorilor, angajatorul ar trebui să-și notifice în prealabil angajații cu privire la toate sistemele de supraveghere iar instanțele spaniole ar trebui să găsească un echilibru corect între drepturile reclamanților la respectarea vieții private și interesul angajatorului de a-și proteja drepturile de proprietate. 

Cazul BĂRBULESCU v. ROMÂNIA - Cererea nr. 61496/08

Și România a avut o speță de referință în materie de monitorizare a angajaților prin cazul BĂRBULESCU v. ROMÂNIA. Invocând încălcarea art. 8 din Convenție, reclamantul a susținut că măsura de concediere adoptată de către angajator s-a întemeiat pe o încălcare a dreptului acestuia la respectarea vieții private și a corespondenței. Curtea a decis că acele comunicări efectuate de reclamant la locul său de muncă intrau în sfera noțiunilor de „viață privată” și „corespondență”, iar autoritățile naționale nu au protejat în mod corespunzător dreptul reclamantului la respectarea vieții sale private și a corespondenței și, prin urmare, nu au asigurat un echilibru just între interesele aflate în joc. 

Legislația națională privind monitorizarea angajatilor

Conform Preambulului (75) din GDPR, analizarea sau previzionarea unor aspecte privind randamentul la locul de muncă, locaţia sau deplasările, în scopul de a se crea sau de a se utiliza profiluri personale, se numără printre categoriile de date a căror prelucrare ar putea genera prejudicii de natură fizică, materială sau morală, care ar reprezenta un risc la adresa drepturilor şi libertăţilor persoanelor fizice

În virtutea prevederilor art. 88 din Regulamentului (EU) 2016/679, legiuitorul român a adoptat prin Legea nr. 190/2018 norme mai detaliate pentru a asigura protecția drepturilor și a libertăților cu privire la prelucrarea datelor cu caracter personal ale angajaților în contextul ocupării unui loc de muncă. 

Astfel, prin articolul Articolul 5 al acestei legi au fost stabilite măsurile necesare punerii în aplicare la nivel naţional a Art. 88 al Regulamentului (UE) 2016/679, astfel: 

”Art. 5. - Prelucrarea datelor cu caracter personal în contextul relațiilor de muncă

În cazul în care sunt utilizate sisteme de monitorizare prin mijloace de comunicații electronice și/sau prin mijloace de supraveghere video la locul de muncă, prelucrarea datelor cu caracter personal ale angajaților, în scopul realizării intereselor legitime urmărite de angajator, este permisă numai dacă:

a) interesele legitime urmărite de angajator sunt temeinic justificate și prevalează asupra intereselor sau drepturilor și libertăților persoanelor vizate;

b) angajatorul a realizat informarea prealabilă obligatorie, completă și în mod explicit a angajaților;

c) angajatorul a consultat sindicatul sau, după caz, reprezentanții angajaților înainte de introducerea sistemelor de monitorizare;

d) alte forme și modalități mai puțin intruzive pentru atingerea scopului urmărit de angajator nu și-au dovedit anterior eficiența; și

e) durata de stocare a datelor cu caracter personal este proporțională cu scopul prelucrării, dar nu mai mare de 30 de zile, cu excepția situațiilor expres reglementate de lege sau a cazurilor temeinic justificate.”

Extras din  Legea nr. 190/2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679

Observam ca Legea 190/2018 ne oferă un tablou destul de relevant asupra condițiilor în care monitorizarea angajatilor poate fi realizată. Trebuie subliniat faptul că toate condițiile prevăzute de art. 5 trebuie îndeplinite cumulativ. Mai mult, aceste condiții trebuie interpretate în contextul tuturor ghidurilor și opiniilor adoptate de organismele europene în materie de protecțiea datelor. 

Câteva sfaturi de final

În contextul pandemic actual, în care multe companii au permis angajaților să lucreze de acasă, monitorizarea activității angajaților a fost o adevărată provocare pentru angajatori, mulți dintre aceștia nefiind pregătiți să identifice soluții alternative, mai puțin intruzive în viața privată, de evaluare a performanțelor angajatilor. 

Orice decizie privind implementarea unui sistem de monitorizare a activității angajaților ar trebui să se ia în baza unei discutii cu DPO-ul sau cu consultantul in protectia datelor. De cele mai multe ori acesta va recomanda realizarea unei evaluari a impactului asupra protecției datelor (DPIA - Data Protection Impact Assessment). 

Trebuie să reținem că între interesele legitime ale companiei și viața privată trebuie să existe un echilibru, care de cele mai multe ori este extrem de fragil. 

O astfel de decizie trebuie atent documentată și nu ar trebui luată fără consultarea responsabilului cu protectia datelor

Dacă vrei sa discuți cu un expert in protectia datelor despre sistemele de monitorizare pe care le aveți implementate în companie ne poți contacta la adresa de e-mail office@decalex.ro 

 

Share:
Cristian Donciu
Autor: Cristian Donciu

Junior Privacy & Data Protection Consultant

PUNE O INTREBARE