GDPR

Adatvédelem mindenkinek / Data protection for everyone

Gigabírság Hamburgban munkavállalók magánéletének ellenőrzése miatt

2020. október 02. 13:00 - poklaszlo

Több mint 35 millió eurós adatvédelmi bírságot szabott ki a Hamburgi Adatvédelmi Hatóság a H&M ruházati társaság németországi szolgáltató központjára, mivel megállapításra került, hogy a társaság a munkavállalók magánszférájára vonatkozóan gyűjtött jogellenesen információkat.   

Az adatkezelés abban állt, hogy - legalább 2014-től kezdődően - a munkavállalók magánszférájára vonatkozó részletes adatokat gyűjtöttek és rögzítettek. A gyűjtött adatok magukban foglaltak információkat a munkavállalók távolléteiről (pl. szabadság, betegszabadság). A távollétről történő visszatérést követően a csoportvezetők ún. "visszatérést követő, üdvözlő beszélgetést" folytattak a visszatérő munkavállalókkal (akár egy rövid távollét után is), amely során nemcsak a konkrét szabadságra vonatkozó tapasztalatokat rögzítették, de pl. egy betegszabadság esetén, a betegség tüneteit és a diagnózisokat is. Az adatgyűjtés következtében a vezetők széles körű ismereteket szereztek a munkavállalók magánéletéről, beleértve a családi életükre vonatkozó információkat, de olyan - különleges adatnak minősülő -  információkat, mint a vallási meggyőződés is. Az így gyűjtött adatok egy részét rögzítették, digitális formában tárolták és azokhoz akár 50 vezető hozzáférhetett a társaságnál. Az adatbázist az egyéni értékelések mellett, profilozásra is használták, amely a munkavállalókat érintő döntések során is figyelembe vételre került. 

Az esetre egyébként úgy derült fény, hogy - egy konfigurációs hiba miatt - az adatok a vállalaton belül széles körben elérhetővé váltak 2019. októberében. Az esetet követő sajtóhírekre reagálva a Hamburgi Adatvédelmi Hatóság vizsgálatot indított, bekérve a társaságtól a vonatkozó, mintegy 60 gigabyte méretű adatbázist. 

Az esetet követően a társaság komoly lépéseket tett az adatvédelmi jogsértések korrigálása érdekében, amelyet a hatóság pozitívan értékelt. Ennek keretében: 

  • a társaság elismerte a felelősségét, bocsánatot kértek az érintettektől és érezhető mértékű kompenzáció megfizetését vállalták az érintettek felé, 
  • adatvédelmi koordinátor került kijelölésre, 
  • havi adatvédelmi helyzetjelentés készítése,
  • fokozott figyelemfelhívás a visszaélések bejelentőinek védelmére, 
  • az érintettek hozzáférési jogának gyakorlására vonatkozó konzisztens koncepció.

A bírság - összegét tekintve - a második legnagyobb bírság a GDPR alkalmazandóvá válását követően (a CNIL Google-re kiszabott 50 millió eurós bírsága után), munkavállalói adatok kezelését érintő jogsértés kapcsán pedig az eddigi legmagasabb összeg. A bírság összege érdekes lehet a német hatóságok által korábban elfogadott, a bírság összegének kalkulációjára vonatkozó koncepció szempontjaira tekintettel. Ugyanakkor a konkrét ügyben számítás pontos módja még nem ismert (pl, milyen módon vettek figyelembe enyhítő körülményeket).     

Szólj hozzá!
Címkék: bírság portfolioblogger Németország HU Rendelet munkahelyi adatkezelés

Ajánlott bejegyzések:

A bejegyzés trackback címe:

https://gdpr.blog.hu/api/trackback/id/tr7716224582

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása