Exemplul H&M: prelucrarea „periculoasă”​ și ilegală a unor informații sensibile despre proprii angajați

Alex Gheorghe, jurist colaborator Avocado, a redactat un foarte scurt comentariu privind amendarea retailer-ului H&M:

Presa internațională anunță amendarea retailer-ului H&M de către Autoritatea de Supraveghere din Germania cu suma de 35,258,707.95 euro. Compania înregistrată în Hamburg și având un service center în Nuremberg, păstra evidențe extinse încă din anul 2014 privind viața privată a propriilor angajați. Informațiile erau stocate pe un drive intern (internal network drive). 

Data-breach-and-Reputation-Management

Informațiile stocate erau următoarele: 

  1. Vacanțe;
  2. Concedii medicale – inclusiv absențe de scurtă durată (!) – după care managerii purtau cu angajații reîntorși la muncă anumite discuții denumite “Welcome Back Talks”, în urma cărora obțineau și stocau detalii despre experiențele concrete avute în vacanță, simptome suferite de angajați în urma anumitor afecțiuni sau boli și diagnostice primite în urma controalelor și inspecțiilor medicale. 
  3. Erau astfel obținute informații extinse despre viața privată a subalternilor inclusiv din discuțiile purtate în spatiile comune ale sediului (floor talks), de la detalii insignifiante la date despre desfășurarea în timp a unor aspecte care se petreceau în viața (privată a) angajaților. 

Toate acestea erau utilizate de H&M pentru a-și profila angajații. Hard-drive-ul pe care erau stocate datele a fost “înghețat” de către Autoritatea privind Protecția Datelor din Hamburg, care ulterior a solicitat transferul acestui hard cu informațiile stocate, pentru a fi analizate (aproximativ 60 de giga de informație!). Plata angajaților lezați de către H&M prin aceste practici a unor compensații bănești, a fost de asemenea sugerată în cadrul investigației. 

Amenda astfel acordată, vine ca un exemplu oferit companiilor care sunt avertizate cu privire la specificul datelor prelucrate, la calitatea acestora și scopul concret al oricărei prelucrări. În final, H&M s-a arătat transparentă pe parcursul investigației și urmează a oferi compensații angajaților afectați, încercând astfel să își păstreze (sau recupereze) imaginea pătată ca urmare a acestor practici. 

Recent, H&M a anunțat închiderea cu caracter permanent a 250 de magazine la nivel global. Amenda emisă este în quantum de 16% din profitul trimestrial al retailer-ului (215 milioane de euro). 

Concluzia noastră este aceea că organizațiile pe care le reprezentați trebuie să limiteze operațiunile interne de prelucrare a datelor personale ale angajaților, exclusiv la acele prelucrări cerute (prevăzute) de lege. Munca trebuie să reprezinte un cadru sigur pentru datele cu caracter personal, un mediu în care pot fi aprofundate relații de prietenie, fără a-ți privi cu suspiciune colegii sau șefii. Un astfel de mediu de lucru nu poate fi cultivat, fără a câștiga încrederea propriilor angajați. 

Articolul este redactat de Alexandru Gheorghe, jurist și consultant prezent pe platforma Avocado.red.

Despre autor: Alex este pasionat de business-uri online și în special de domeniul e-commerce. Este certificat ca Data Protection Officer (Responsabil cu Protecția Datelor) de PECB Europe și este certificat ca Formator de adulți (Trainer). Alex are o experiență totală de 13 ani în calitate de consilier juridic in-house, oferind consultanță și suport juridic companiilor deținute la nivel internațional, atât din România cât și din interiorul Uniunii Europene.
În prezent, activează ca Data Protection Officer și Consultant în domeniul Protecției Datelor și Cybsersecurity în cadrul mai multor companii din România, și oferă consultanță și training în domeniul protecției datelor cu caracter personal (GDPR) și e-privacy în cadrul companiei Inperspective Business.

Sursa poza: dataprivacymanager.net