H&M kažnjen sa 35,3 miliona evra zbog monitoringa zaposlenih

Dosadašnje iskustvo pokazalo nam je da mnoštvo poslodavaca prikuplja prekomeran broj podataka o svojim zaposlenima, kao i da su njihove aktivnosti često sprovedene suprotno principima zaštite podataka o ličnosti. Neretko se dešava da su poslodavci indiferentni prema zakonskim odredbama koje se tiču zaštite privatnosti zaposlenih, te ne ispunjavaju ni osnovne obaveze, što još uvek prolazi nezapaženo u uslovima nedovoljne informisanosti zaposlenih.

Tešku povredu prava na privatnost zaposlenih učinio je i lanac modnih prodavnica H&M (Hennes & Mauritz) u Nemačkoj, koga je početkom oktobra ove godine nadležni Poverenik za zaštitu podataka o ličnosti i slobodu informisanja obavezao na plaćanje novčane kazne zbog nezakonite obrade podataka o ličnosti. Iznos kazne od neverovatnih 35,3 miliona evra je po visini na drugom mestu do sada izrečenih kazni za kršenje GDPR, odmah iza kazne izrečene kompaniji Google 2019. godine u Francuskoj.

Primer H&M treba da bude važna lekcija i za poslodavce u Srbiji, imajući u vidu da je u avgustu 2019. godine počeo da se primenjuje Zakon o zaštiti podataka o ličnosti, koji u najvećoj meri predstavlja repliku Opšte uredbe EU o zaštiti podatka o ličnosti (GDPR). Novi Zakon postavlja visok standard zaštite podataka o ličnosti koga moraju da se pridržavaju svi poslodavci u odnosu na podatke koje prikupljanju od zaposlenih, baš kao i poslodavci u okviru EU. Dakle, ponavljanje grešaka H&M ili uopšte zanemarivanje zakonskih obaveza sigurno može dovesti do teških sankcija i kompromitovanja reputacije domaćih poslodavaca.

Kako je bolje učiti na tuđim greškama, verujemo da primer aktuelne situacije sa H&M nosi važnu pouku za poslodavce u Srbiji. 

Koje podatke o zaposlenima je prikupljao H&M?

Rezultati istrage hamburškog Poverenika su zabrinjavajući: utvrđeno je da su tokom godina prikupljeni brojni podaci o ličnosti koji se odnose na više stotina zaposlenih u glavnom korisničkom centru H&M-a u Nirnbergu. Između ostalog, otkriveno je da je ova kompanija u svojim bazama čuvala podatke o privatnim životima svojih zaposlenih: o njihovom porodičnom statusu, religijskom opredeljenju, boravcima u inostranstvu, pa čak i o zdravstvenom stanju, istoriji bolesti i postavljenim dijagnozama. Ni detalji o avanturama na putovanjima ili simptomima bolesti po povratku iz inostranstva nisu prošli neprimećeno, već su i oni beleženi „za svaki slučaj“. Štaviše, evidencije o određenim podacima vođene su u kontinuitetu, te su s vremena na vreme ažurirane novim informacijama, na taj način prateći razvoj pojedinih životnih situacija zaposlenih lica.

Informacije su prikupljane najčešće pomoću takozvanih „razgovora dobrodošlice“ koje su rukovodioci organizovali nakon povratka zaposlenih lica sa bolovanja ili godišnjih odmora. Pored toga, zaposleni su veliki broj privatnih detalja o sebi i svojim porodicama iznosili i prilikom svakodnevnih, nezvaničnih razgovora sa nadređenima, a ono što nisu znali je da su tako iznete informacije beležene i trajno čuvane u elektronskoj formi na cloud serveru H&M-a. Tako formiranim bazama podataka pristup imalo ponekad i preko 50 menadžera u okviru kompanije. 

Kako je ustanovljeno koje podatke H&M sakuplja?

Nezakonito postupanje drugog najvećeg proizvođača odeće u svetu otkriveno je nakon što su u oktobru 2019. godine prikupljeni podaci postali dostupni javnosti na nekoliko sati, usled napada na sistem H&M-a. Po saznanju da je došlo do otkrivanja poverljivih informacija, Poverenik je izdao naredbu za „zamrzavanje“ elektronske baze podataka kompanije, nakon čega je upućen zahtev kompaniji da dostavi Povereniku sve informacije iz baze radi njihove procene. Analiza preko 60 gigabajta podataka trajala je skoro godinu dana, a na osnovu rezultata ustanovljeno je da od 2014. godine H&M vodi veoma opširnu evidenciju podataka o privatnim životima zaposlenih, na taj način grubo zadirući u njihovu privatnost.

Ipak, nije teško zamislivo da su podaci o ovakvoj praksi H&M mogli postati poznati javnosti i na drugi način. Često se dešava da se zaposleni, koji ima saznanja o protivpravnom postupanju poslodavca, obrati nadležnim organima (nekad i u svojstvu uzbunjivača) ili traži zaštitu svojih prava u sudskom postupku u svojstvu tužioca. U Dizeldorfu je nedavno sud u radnom sporu dosudio zaposlenom iznos od 5.000 evra na račun poslodavca zbog kašnjenja i propusta u omogućavanju zaposlenom da pristupi svojim podacima kod poslodavca u skladu sa GDPR.

Kako je H&M koristio podatke o zaposlenima?

Na osnovu privatnih informacija do kojih su rukovodioci H&M-a došli tokom vremena vršene su, između ostalog, detaljne procene rada pojedinačnih zaposlenih, kao i njihovo profilisanje. Naročito je alarmantna činjenica da su prikupljeni podaci direktno uticali na odluke o pitanjima u vezi sa radnim odnosima zaposlenih, kao i da su potencijalno doveli do sprovođenja različitih mera usmerenih prema zaposlenim licima. 

Koje posledice trpi H&M?

Hamburški Poverenik je u zvaničnom saopštenju za medije utvrdio da prikupljanje podataka o privatnom životu zaposlenih, u kombinaciji sa njihovim beleženjem i čuvanjem, predstavlja ozbiljno zadiranje u građanska prava lica na koje se podaci odnose. Prema rečima ovog organa, slučaj H&M-a je do sada neviđen primer postupanja jedne kompanije koje za posledicu ima incident u oblasti zaštite podataka o ličnosti.

Izrečenu kaznu od 35,3 miliona Poverenik je procenio kao srazmernu, prikladnu i odgovarajuću, a naročito sa ciljem budućeg preventivnog delovanja na druge kompanije u pogledu kršenja prava ličnosti svojih zaposlenih.

Šteta za reputaciju H&M kako u odnosu na zaposlene tako i u odnosu na potrošače u ovom momentu je nesaglediva.

Na internet stranici H&M-a kompanija je javno prihvatila odgovornost za uočene nezakonitosti i obavestila javnost o konkretnim radnjama preduzetim u tom pravcu. Jedna od mera kontrole štete po reputaciju je i odluka o isplati novčane naknade svim zaposlenima koji su bili u radnom odnosu u kompaniji najmanje jedan mesec od maja 2018. godine, kada je GDPR stupio na snagu.

Koja je pouka za poslodavce u Srbiji?

Nedovoljna informisanost u pogledu zaštite podataka o ličnosti na radnom mestu može dovesti do kršenja prava zaposlenih, te je neophodno na vreme se informisati, kako bi se blagovremeno izbegla sudbina koja je zadesila H&M.

Samo neke od osnovnih obaveza poslodavaca su:

1. Mapiranje podataka – podrazumeva proces identifikacije svih vrsta podataka koji se obrađuju, svrhe zbog koje se obrađuju i ustanovljavanja pravnog osnova obrade.

2. Kompletno revidiranje potencijalno problematičnih obrada podataka i prilagođavanje/uvođenje procedura.

3. Adekvatno obaveštavanje zaposlenih o podacima koje prikupljaju, načinima obrade, svrsi, pravnom osnovu, roku čuvanja podataka, licima sa kojima dele podatke i svim drugim obaveznim informacijama. 

4. Periodična organizacija treninga HR osoblja i menadžmenta o usklađenosti sa Zakonom o zaštiti podataka o ličnosti.

5. Uvođenje strogih pravila kontrole pristupa podacima o ličnosti zaposlenih.

6. Jasno razdvajanje privatnih aktivnosti zaposlenih od poslovnih.

Poslodavci moraju imati u vidu da im pandemija ne omogućava da uvedu ograničenja prava na privatnost niti da zanemare svoje zakonske obaveze. 

Tekst je prvobitno objavljen na sajtu Advokatske kancelarije Žunić



Tijana Žunić Marić je advokat i partner u Advokatskoj kancelariji Žunić. Nakon završenih studija i rada u Velikoj Britaniji, usko se specijalizovala za oblast IT prava, kao i složena pravna pitanja zaštite podataka o ličnosti. Primalac nekoliko međunarodnih priznanja za rad u oblasti zaštite podataka o ličnosti.

Čitaj još: