Andmekaitseuudised

GDPRAndmete kogumine töötajate eraelu kohta läks H&M-le maksma 35 miljonit eurot

Andmete kogumine töötajate eraelu kohta läks H&M-le maksma 35 miljonit eurot

Postitatud

Hamburgi (Saksamaa) andmekaitse järelevalveasutus HmbBfDI määras 35 258 707,95 suuruse trahvi tuntud rõivafirmale H&M, täpsema nimetusega Hennes & Mauritz Online Shop A.B. & Co KG.

Ettevõte oli alates 2014 aastast ebaseaduslikult kogunud ja säilitanud töötajate eraelulisi andmeid.

Näiteks viisid H&M meeskonnajuhid pärast töötajate töölt puudumisi läbi nn „tere-tulemast-tagasi“ – tüüpi vestlusi, mille käigus koguti mh andmeid puudunud töötajate puhkusemälestuste, diagnooside ja haigussümptomite kohta. Lisaks pidasid mõned juhid töötajatega jutuajamisi, mille teemad varieerusid lihtsamatest koduse elu üksikasjadest kuni usuliste tõekspidamisteni.

Kogutud teave salvestati ning tehti kättesaadavaks 50 juhile üle kogu firma.

Lisaks hinnati töötajate isiklikku tööpanust (individual performance) ning saadud infot kasutati töötajate profiili koostamiseks, mille alusel omakorda tehti neid puudutavaid otsuseid.

Eraeluliste üksikasjade kogumine, koos nende tegevuse kohta märkmete tegemisega tõi kaasa iseäranis intensiivse isikuõiguste riive.

Andmete kogumine sai teatavaks infosüsteemide konfiguratsioonivea tõttu, mille tulemusel olid töötajate eraelu andmed 2019.a. oktoobris lühikest aega kättesaadavad H&M kõigile töötajatele.

Hamburgi andmekaitse järelevalveasutus sai juhtunust teada meedia vahendusel ning andis  korralduse andmetega seotud võrguketas koheselt sulgeda ning järelevalveasutusele üle anda. Ettevõte kuuletus ning andis järelevalveasutusele üle 60 gigabaiti töötajate kohta kogutud andmeid. Ettevõttes kasutusel olnud isikuandmete kogumise praktikat kinnitasid lisaks ka mitmed tunnistajad.

Ettevõtet kohustati olukorra normaliseerimiseks esitama järelevalveasutusele uus isikuandmete töötlemise kontseptsioon. H&M juhtkond vabandas kannatanud töötajate ees ning pakkus neile välja hüvitise maksmise.

Uue lähenemise kohaselt töötab ettevõttes nüüd isikuandmete kaitse koordinaator, koostatakse igakuine isikuandmete kaitse alane ülevaade, sisse seati „vilepuhujate“ kaitse ning töötajate poolt oma andmetele juurdepääsu kord.

Hamburgi andmekaitsevolinik professor Johannes Caspar märkis, et antud juhtumil oli tegu äärmiselt tõsise vajakajäämisega töötajate isikuandmete kaitse vallas.

Seetõttu on määratud suur trahv tema hinnangul asjakohane ja tõhus ning peaks mõjuma vajaliku heidutusena teistele ettevõtetele, kes oma töötajate eraelu puutumatust lubamatult rikuvad.

 

 

Kategooriad: GDPR