GDPR Flash News: HmbBfDI imposes a fine on H&M Service Center for violations related to employees’ private life

By Themistoklis Giannakopoulos & Lydia Kakourou

This Flash News comments on the decision of the Hamburg Commissioner for Data Protection and Freedom of Information (HmbBfDI) by which a fine is imposed on H&M Service Center in Nuremberg for violations related to its employees’ private life. The decision emphasizes the obligation for increased protection of private life and respect of employees’ personal data in the work environment.

Below you may find the full article in Greek

 

Πρόστιμο 35,3 εκατομμυρίων ευρώ στην H&M για παραβίαση δεδομένων προσωπικού χαρακτήρα

Των Θεμιστοκλή Γιαννακόπουλου & Λυδία Κακούρου 

O Επίτροπος Προστασίας Προσωπικών Δεδομένων του Αμβούργου (HmbBfDI) επέβαλε πρόστιμο ύψους 35,3 εκατομμυρίων ευρώ σε κέντρο εξυπηρέτησης της H&M στη Νυρεμβέργη για παραβίαση της ιδιωτικής ζωής των υπαλλήλων.

Σύντομο ιστορικό  

Τον Οκτώβριο του 2019 παρουσιάστηκε σφάλμα στο πληροφοριακό σύστημα της εταιρείας, με αποτέλεσμα να καταστεί εφικτή η ανεξέλεγκτη πρόσβαση σε βάση δεδομένων της εταιρείας, που περιείχε εκτενείς πληροφορίες αναφορικά με την ιδιωτική ζωή των υπαλλήλων της.

Μετά από διαρροή της είδησης στον Τύπο, μέσω της οποίας και ενημερώθηκε ο Επίτροπος Προστασίας Προσωπικών Δεδομένων του Αμβούργου, ο τελευταίος έδωσε εντολή στην εταιρεία να «παγώσει» το περιεχόμενο του δικτύου της και να του παραδώσει όλο  το σχετικό υλικό προκειμένου να διερευνήσει την υπόθεση.

Η διερεύνηση του Επιτρόπου οδήγησε στις παρακάτω διαπιστώσεις:

  • Τα εσωτερικά σημειώματα που περιείχαν πληροφορίες για την ιδιωτική ζωή των υπαλλήλων αποθηκεύονταν μόνιμα στο δίκτυο της εταιρείας
  • Μετά από επιστροφή από άδεια, ακόμα και σύντομη, οι εργαζόμενοι καλούνταν να συζητήσουν με τον προϊστάμενό τους λεπτομέρειες για την άδειά τους (Welcome Back Talks, όπως ονομάζονταν από την ίδια την εταιρεία). Στις εν λόγω συζητήσεις καταγράφονταν με λεπτομέρεια όχι μόνο οι εμπειρίες που αποκόμισαν οι εργαζόμενοι στη διάρκεια της άδειάς τους αλλά και πληροφορίες αναφορικά με τυχόν ασθένειά τους
  • Κάποιοι προϊστάμενοι, μέσω συζητήσεων σε διαπροσωπικό επίπεδο με τους εργαζομένους, αποκτούσαν ευρεία γνώση της ιδιωτικής ζωής τους, συμπεριλαμβανομένων οικογενειακών ζητημάτων αλλά και θρησκευτικών πεποιθήσεων
  • Οι ως άνω πληροφορίες καταγράφονταν, αποθηκεύονταν ηλεκτρονικά και τουλάχιστον πενήντα ανώτερα στελέχη της εταιρείας αποκτούσαν πρόσβαση σε αυτές. Το αποτέλεσμα της συλλογής, αποθήκευσης και πρόσβασης σε αυτές τις πληροφορίες ήταν η δημιουργία ενός πλήρους προφίλ του εργαζομένου που λαμβανόταν υπόψη κατά τη λήψη μέτρων και αποφάσεων που αφορούσαν την εργασιακή του σχέση με την εταιρεία και την επαγγελματική του εξέλιξη.

Ο Επίτροπος έκρινε ότι οι ως άνω πρακτικές, οι οποίες επιβεβαιώθηκαν και από πολυάριθμες ανακρίσεις μαρτύρων, συνιστούσαν σοβαρή προσβολή των δικαιωμάτων των εργαζομένων.

Ενέργειες της εταιρείας που αξιολογήθηκαν θετικά

  • Ρητή συγγνώμη προς τους εργαζόμενους οι οποίοι υπέστησαν τις αρνητικές συνέπειες της παράνομης πρακτικής
  • Καταβολή σημαντικής αποζημίωση στους εργαζομένους
  • Ορισμός συντονιστή προστασίας προσωπικών δεδομένων (data protection coordinator)
  • Υιοθέτηση συγκεκριμένων μέτρων αναφορικά με την ικανοποίηση των δικαιωμάτων των φυσικών προσώπων, την ενίσχυση της προστασίας των εργαζομένων που αναφέρουν παραβιάσεις της νομοθεσίας εντός της εταιρείας αλλά και την παρακολούθηση της συμμόρφωσης με τη νομοθεσία για τα προσωπικά δεδομένα σε μηνιαία κλίμακα.

Παρά τις προσπάθειες της εταιρείας για την αποκατάσταση της εμπιστοσύνης και την αποζημίωση εκείνων των εργαζομένων που επηρεάστηκαν αρνητικά από τις πρακτικές της, το ύψος του προστίμου που επιβλήθηκε είναι χαρακτηριστικά υψηλό, με προφανή στόχο να είναι «επαρκές» και «αποτελεσματικό» προς αποτροπή της παραβίασης της ιδιωτικής ζωής των εργαζομένων.

Συμπεράσματα

  • Κάθε εργοδότης ως υπεύθυνος επεξεργασίας έχει αυξημένες υποχρεώσεις συμμόρφωσης με τον ΓΚΠΔ κατά την επεξεργασία δεδοµένων προσωπικού χαρακτήρα στο πλαίσιο των εργασιακών σχέσεων λαμβανομένης υπόψη της σαφούς ανισορροπίας και της σχέσης εξάρτησης µεταξύ εργοδότη και εργαζοµένου.
  • Ακόμα και όταν υπάρχουν ελαφρυντικοί παράγοντες και σαφείς ενδείξεις μεταμέλειας, το επιβαλλόμενο πρόστιμο ενδεχομένως να είναι τελικά ιδιαίτερα υψηλό, ώστε να διασφαλίζεται ο αναλογικός και αποτρεπτικός χαρακτήρας και φυσικά η αποτελεσματικότητά του, στο πλαίσιο διασφάλισης συμμόρφωσης με το σύνολο των επιβαλλομένων υποχρεώσεων.