Компанію H&M оштрафували на 35 мільйонів євро через надмірний збір персональних даних працівників
Коли ми підбивали підсумки двох років дії GDPR, процес щодо можливих порушень положень GDPR шведською компанією H&M в Німеччині ще був у розпалі. І ось 1 жовтня 2020 року орган з питань захисту персональних даних (англ. Data Protection Authority – "DPA") у м. Гамбург прийняв рішення про накладення штрафу на компанію у розмірі 35 мільйонів євро, що на даний момент є другою найбільшою сумою штрафу за всю історію застосування GDPR (поступається лише штрафу, накладеному на Google в 2019 році французьким DPA у розмірі 50 мільйонів євро).
Суть порушення
H&M оштрафували за незаконний моніторинг щодо кількох сотень своїх працівників. Порушення полягало у надмірному збиранні і зберіганні персональних даних працівників компанії.
Як було встановлено в процесі розслідування, щонайменше з 2014 року компанія H&M збирала дані про своїх працівників, які працювали у сервісному центрі в Нюрнберзі. Інформація про працівників містила дані щодо їхніх вихідних днів, лікарняних, відпусток та навіть чутливі дані щодо медичних симптомів та діагнозів.
Дані збирались під час так званих Welcome Back Talks керівниками, коли працівники вертались із відпусток та лікарняних. Зібрані дані записувались та зберігались на цифрових носіях.
Деякі записи містили дані, які стосувались особистого життя працівників, як от інформація про сім'ю та релігійні переконання працівників. Частина даних була завантажена керівниками онлайн та була доступна для близько 50 менеджерів. Записи використовувались для оцінки ефективності роботи працівників, а також враховувались при вирішенні інших трудових питань.
Інформація щодо зберігання компанією даних про своїх працівників стала відомою у жовтні 2019 року внаслідок помилки в системі, коли дані стали доступними всім працівникам в межах компанії на кілька годин.
Як зазначив DPA, дії H&M щодо надмірного моніторингу за своїми працівниками становлять особливо інтенсивне посягання на громадянські права працівників компанії. Компанія збирала широкий спектр даних про своїх працівників, який не був виправданий та пропорційний.
Реакція H&M
Із початком розслідування, компанія надавала всю необхідну інформацію на вимогу DPA. H&M також вибачилась перед працівниками сервісного центру в Нюрнберзі та запропонувала їм виплату компенсації. В компанії заявили, що вони беруть на себе відповідальність за інцидент та приносять свої вибачення.
Після інциденту компанія також прийняла ряд заходів для покращення захисту персональних даних в межах компанії та запобігання виникненню подібних інцидентів. Зокрема, був призначений координатор з питань захисту персональних даних, вдосконалена ІТ-інфраструктура компанії, а також були проведені тренінги серед працівників щодо роботи із персональними даними та дотримання їхнього захисту.
За детальною інформацією звертайтесь до наших експертів:
Керуючий партнер
deyneko@everlegal.ua
.jpg)
Партнер
olenyuk@everlegal.ua
