Compania, care are un service center în Nürnberg, păstra evidențe extinse încă din anul 2014 privind viața privată a propriilor angajați. Informațiile erau stocate pe un drive intern (internal network drive).

Informațiile stocate erau următoarele:

  1. Vacanțe;
  2. Concedii medicale - inclusiv absențe de scurtă durată (!) - după care managerii purtau cu angajații reîntorși la muncă anumite discuții denumite “Welcome Back Talks”, în urma cărora obțineau și stocau detalii despre experiențele concrete avute în vacanță, simptome suferite de angajați în urma anumitor afecțiuni sau boli și diagnostice primite în urma controalelor și inspecțiilor medicale.
  3. Erau astfel obținute informații extinse despre viața privată a subalternilor inclusiv din discuțiile purtate în spatiile comune ale sediului (floor talks), de la detalii insignifiante la date despre desfășurarea în timp a unor aspecte care se petreceau în viața (privată a) angajaților.

Toate acestea erau utilizate de H&M pentru a-și profila angajații. Hard-drive-ul pe care erau stocate datele a fost “înghețat” de către Autoritatea privind Protecția Datelor din Hamburg, care ulterior a solicitat transferul acestui hard cu informațiile stocate, pentru a fi analizate (aproximativ 60 de giga de informație!).

Plata angajaților lezați de către H&M prin aceste practici a unor compensații bănești, a fost de asemenea sugerată în cadrul investigației.

Opinie: Educație prin camere video

Amenda astfel acordată vine ca un exemplu oferit companiilor care sunt avertizate cu privire la specificul datelor prelucrate, la calitatea acestora și scopul concret al oricărei prelucrări.

În final, H&M s-a arătat transparentă pe parcursul investigației și urmează a oferi compensații angajaților afectați, încercând astfel să își păstreze (sau recupereze) imaginea pătată ca urmare a acestor practici.

Recent, H&M a anunțat închiderea cu caracter permanent a 250 de magazine la nivel global. Amenda emisă este în quantum de 16% din profitul trimestrial al retailer-ului (215 milioane de euro).

Concluzia noastră este aceea că organizațiile pe care le reprezentați trebuie să limiteze operațiunile interne de prelucrare a datelor personale ale angajaților, exclusiv la acele prelucrări cerute (prevăzute) de lege.

Responsabilul cu Protecția Datelor (DPO) – subiectul principal al Conferinței...

Munca trebuie să reprezinte un cadru sigur pentru datele cu caracter personal, un mediu în care pot fi aprofundate relații de prietenie, fără a-ți privi cu suspiciune colegii sau șefii. Un astfel de mediu de lucru nu poate fi cultivat, fără a câștiga încrederea propriilor angajați.

Sursa foto: dataprivacymanager.net

Alex Gheorghe este unul dintre consultanții juridici și consultanții GDPR pe care îi regăsiți pe platforma BizTool.ro.