Adatvédelmi bírság – 35.3 millió euró (kb. 12,6 milliárd forint) bírságot szabott ki a Hamburgi Adatvédelmi Hatóság a H&M szolgáltató központjára az adatvédelmi előírások megsértéséért
A Hamburgi Adatvédelmi Hatóság (a továbbiakban: Hatóság) sajtóközleményt adott ki (angol[1] és német[2] nyelven) a H&M nürnbergi szolgáltatási központjában (a továbbiakban: szolgáltatási központ) történt több száz dolgozó menedzsment általi megfigyelését érintő jogszerűtlen munkavállalói adatkezelés miatti 35.3 millió euró összegű bírság kiszabásáról.
A hatósági határozatot követően a H&M honlapján adott ki közleményt[3] a bírság vállalatot érintő következményeiről, a személyes adatok vállalaton belüli kiemelt fontosságú védelmét garantáló megfelelő intézkedésekről.
- Adatkezelés ismertetése
A Hamburgban bejegyzett társaság szolgáltatási központot üzemeltet Nürnbergben. Legalább 2014 óta a munkaerő állomány egyes részeinek magánéletére vonatkozó adatok rendkívül részletesen kerültek rögzítésre. Távolléteket (szabadság, betegség miatti távollét) követően a visszatéréskor a csoportvezetők ún. „Welcome Back Talks” (magyarul visszatérést üdvözlő beszélgetéseket) szerveztek a dolgozóknak. Ezeken a beszélgetéseken rögzítésre kerültek az eltöltött szabadsággal kapcsolatos adatok mellett az esetleges konkrét betegségre, tünetekre vonatkozó adatok is. Egyes vezetők emellett egyéb, akár folyosói személyes beszélgetések során széleskörűen megismerték a dolgozók magánéletét, családi helyzetüket, akár vallási meggyőződésére vonatkozó személyes adataikat. Az említett adatok egy része rögzítésre és rendszerezetten tárolásra került, valamint láthatóvá vált legalább 50 menedzsment tag számára.
Adatrögzítésre rendkívüli részleteséggel és meglehetősen hosszú időtartamot átölelően került sor, követve a megismert helyzetek változását. Emellett aprólékosan rögzítették a dolgozók egyéni munkahelyi teljesítményét és a rendelkezésre álló adatok felhasználásával részletes profilt alkottak a dolgozókról a foglalkoztatásukat érintő intézkedések és döntések meghozatala érdekében. Kijelenthető, hogy a dolgozók magánéletére és tevékenységeikre vonatkozó adatok együttes gyűjtése az érintettek jogait érintő jelentős invazív beavatkozásnak minősül.
- Hatóság megállapításai
2019 októberében egy beállítási hiba következtében derült fény a fent említett adatrögzítésre, amikor a hiba okán a rögzített adatok vállalat szinten elérhetővé váltak pár órára. Miután a Hatóság tudomására jutott az eset, vizsgálat indult, mely során a kb. 60 gigabájtnyi rögzített adat átadását és az érintettek kihallgatását követően beigazolódott a vállalat által alkalmazott gyakorlat.
A Hatóság a kiszabott bírságot megfelelő mértékűnek és hatásosnak találta, ahhoz, hogy az elrettentő legyen más vállalatok számára a munkavállalók személyes adatainak védelmének megsértésétől.
A Hatóság a felderítést követően a vállalattól egy átfogó koncepciót kapott arról, hogyan valósul meg az adatok védelme a szolgáltatási központban, melynek része többek között – a bocsánatkérés és a dolgozók részére anyagi juttatás mellett – egy új adatvédelmi koordinátor kinevezése, havi adatvédelmi jelentések készítése, visszaélés-bejelentési rendszer megerősítése és az érintettek hozzáférési jogát mindenkor biztosító koncepció.
- H&M közleménye (2020. Október 1.)
A H&M elképesztő mértékű bírságára közleményben reagált melyet honlapjára is feltöltött, tanulságként érdemes áttekinteni a vállalat bírságot követő intézkedéseit.
A H&M közleményében kifejti, hogy a 2019 októberében felfedezett és a Hatóság felé haladéktalanul bejelentett munkavállalói adatkezelést érintő incidensért – mely a H&M iránymutatásaival és előírásaival nem volt összhangban – teljes felelősséget vállal és bocsánatkérését fejezi ki a szolgáltató központ dolgozói felé. A H&M a bejelentést követő eljárásban a Hatósággal együttműködött és a döntést kivizsgálja.
A H&M az incidens jelentését követően a szolgáltató központban haladéktalanul intézkedéseket vezetett be, valamint átfogó akciótervet készített a belső auditok gyakorlatának fejlesztése érdekében, ezzel biztosítva az adatvédelmi előírásoknak való megfelelést és a vezetők megerősítését, oktatását a tudatos adatvédelmi munkakörnyezet kialakítása és fenntartása érdekében. További intézkedések az alábbiak:
– személyi változtatások menedzsment szinten,
– további munkajogi és adatvédelmi jogi oktatások menedzsment szinten,
– HR és adatvédelmi leírások áttekintése,
– új audit munkakör kialakítása az adatvédelemmel kapcsolatos eljárások felülvizsgálatára,
– eljárások fejlesztése a személyes adatok törlése gyakorlatának javítására,
– IT megoldások fejlesztése különös tekintettel a személyes adatok tárolásának fontosságára.
Fentieken felül a H&M döntése szerint minden a GDPR hatályba lépése óta legalább 1 hónapja ott dolgozó számára anyagi kompenzációt nyújt.
A Hatóság kifejezetten pozitívan értékeli a vállalat intézkedéseit, mind az érintettek kompenzálása, mind az átlátható tájékoztatás terén, ezzel ugyanis a vállalat bizonyítja az iránta kialakult bizalom helyreállításának szándékát és a dolgozók megbecsülését.
[1] https://datenschutz-hamburg.de/assets/pdf/2020-10-01-press-release-h+m-fine.pdf
[2] https://datenschutz-hamburg.de/pressemitteilungen/2020/10/2020-10-01-h-m-verfahren
[3] https://about.hm.com/de_de/news/general-news-2020/h-m-hat-eine-entscheidung-der-hamburger-datenschutzbehoerde-erha.html
