Hamburgo duomenų apsaugos institucija skyrė drabužių parduotuvių tinklui „H&M“ 35 258 707,95 eurų baudą už Bendrojo duomenų apsaugos reglamento pažeidimą.
Tyrimo metu buvo nustatyta, kad H&M nuo 2014 m. rinko ir kaupė daug duomenų apie darbuotojų privatų gyvenimą, o taip pat tokius duomenis saugojo įmonės vidiniame tinkle. Darbuotojams grįžus iš atostogų ar po ligos, tiesioginiai vadovai rengdavo taip vadinamus „Welcome Back Talk“ (t.y. pokalbius, sveikinus sugrįžus į darbą), kurių metų buvo klausinėjama įvairių asmeninių klausimų, kaip pavyzdžiui ligos simptomai, ligos diagnozės. Duomenys apie darbuotojų privatų gyvenimą buvo renkami taip neoficialiuose pokalbiuose, buvo prašoma papasakoti apie šeimos problemas, religinius įsitikinimus. Visa ši informacija buvo fiksuojama ir saugoma skaitmenine forma, prie šios informacijos prieigą turėjo apie 50 kitų įmonės darbuotojų.
Informacija apie darbuotojo asmeninį gyvenimą buvo naudojama, siekiant sukurti konkretaus darbuotojo profilį, skirtą padėti įmonei darbo santykiuose su tokiu asmeniu.
Asmens duomenų apie darbuotojų privatų gyvenimą rinkimas tapo žinomas, kai tokie duomenys net kelias valandas buvo prieinami visai įmonei dėl informacinių technologijų klaidos. Priežiūros institucijai buvo perduotos 60 GB duomenų, po kurių analizės buvo konstatuota, kad įmonė pažeidė asmens duomenų tvarkymo reikalavimus ir darbuotojų teisę į privatų gyvenimą.
Hamburgo duomenų apsaugos institucijos atstovas prof. Dr. Johannes Caspar nurodė, kad: „Šioje byloje užfiksuotas rimtas darbuotojų duomenų apsaugos nepaisymas H&M svetainėje Niurnberge. Paskirtos baudos dydis yra atitinkamas ir tinkamas atgrasyti įmones nuo darbuotojų privatumo pažeidimo“.
Įmonė prisiėmė atsakomybę, atsiprašė nukentėjusiųjų ir įsipareigojo kompensuoti padarytą žalą.
Šis pažeidimas ir jo pasekmės tik dar kartą įrodo, kad asmens duomenų apsauga turi būti užtikrinama ir santykiuose su darbuotoju. Asmens duomenų tvarkymą darbo santykiuose reglamentuoja ne tik Bendrasis duomenų apsaugos reglamentas, bet ir Darbo kodeksas, kuris numato, kad turi būti gerbiamas darbuotojo asmeninis gyvenimas. Todėl darbdaviai neturi rinkti informacijos apie darbuotoją, kuri nėra jiems reikalinga, jo, kaip darbdavio, funkcijoms atlikti.
Duomenys apie darbuotoją, kai jie nebūtini tvarkyti pagal teisės aktus, gali būti tvarkomi tik turint teisėtą pagrindą (kaip pvz.: komunikacijai palaikyti, darbo komandos formavimui ir pan. ) ir iš anksto informavus darbuotoją. Tokie duomenys turi būti iš karto ištrinami, kai tampa nereikalingi tam tikslui, kuriam buvo renkami.
Siekiant atitikti Bendrajame duomenų apsaugos reglamente nurodytą atskaitomybės principą, įmonės turi įvertinti renkamų duomenų apie darbuotoją mastą, pobūdį, turėti apsirašiusios darbuotojų asmens duomenų tvarkymo taisykles bei apie jas informuoti darbuotojus.
Parengė ECOVIS ProventusLaw advokato padėjėja Brigida Bacienė