Europos duomenų apsaugos valdybos (toliau - EDAV) duomenimis, Vokietijos priežiūros institucija skyrė H&M 35 mln. Eur baudą už Bendrojo duomenų apsaugos reglamento (toliau - BDAR) pažeidimus tvarkant darbuotojų asmens duomenis. Tai viena didžiausių baudų ES mastu nuo BDAR įsigaliojimo. Kas lėmė baudos skyrimą ir ko galėtų pasimokyti kiekvienas darbdavys? Apie tai supažindina Duomenų apsaugos pareigūnas Allaw.

Perteklinis duomenų tvarkymas ir darbuotojų stebėjimas


H&M dar nuo 2014 m. plačiai dokumentavo dalies darbuotojų privatų gyvenimą. Tai buvo daroma vadovams organizuojant susitikimus su po atostogų ar po laikino nedarbingumo grįžusiais darbuotojais ir saugant šių susitikimų užrašus. Neretai tokiuose užrašuose atsispindėdavo ne tik konkrečios darbuotojų atostogų patirtys, bet ir ligų simptomai ir diagnozės. Kai kurie vadovai turėjo informacijos ir apie darbuotojų religinius įsitikinimus (kas pagal BDAR yra specialių kategorijų asmens duomenys, kuriuos galima tvarkyti tik esant tam tikroms sąlygoms) bei darbuotojų šeimų problemas. Dalis šios informacijos buvo įrašoma ir saugoma skaitmeniniu būdu. Prie kai kurių iš šių įrašų prieigą turėjo daugiau nei 50 vadovų visoje bendrovėje. Įrašai kartais buvo daromi itin išsamiai ir saugomi ilgesnį laiką, dokumentuojant minėtų klausimų raidą, ką galima vertinti kaip darbuotojų stebėjimą. Be kruopštaus individualaus darbo atlikimo įvertinimo, taip surinkti duomenys, be kita ko, buvo naudojami norint gauti išsamų darbuotojų profilį priemonėms ir sprendimams dėl jų įdarbinimo. Labai tikėtina, kad darbuotojai nebuvo informuoti ir negalėjo tikėtis tokių jų asmens duomenų tvarkymo, taip neįgyvendinant darbuotojų teisės būti informuotiems apie jų asmens duomenų tvarkymą (BDAR 12-13 str.). Toks duomenų rinkimas ir tvarkymas pažeidė BDAR 5 str. a) b) bei c) punktuose įtvirtintus teisėtumo, sąžiningumo bei skaidrumo, tikslo apribojimo ir duomenų kiekio mažinimo principus bei nebuvo pagrįstas jokio teisėtumo sąlyga (BDAR 6 str.).

Pasitikrinti, ar netvarkote perteklinių asmens duomenų, galite kartu su Duomenų apsaugos pareigūnu Allaw. Rašykite mums.

Prieigos pažeidimai


Be to, kad su minėtais duomenimis galėjo susipažinti daugiau nei 50 vadovų visoje bendrovėje, 2019 m. spalį šie duomenys keletui valandų dėl konfigūravimo klaidos tapo prieinami visos bendrovės mastu. Taigi šalia kitų BDAR principų pažeidimų prisidėjo ir nepakankamas duomenų saugumo užtikrinimas. Vokietijos priežiūros institucija apie tai gavusi informaciją iš žiniasklaidos pradėjo tyrimą, kuriam bendrovė turėjo pateikti visus dokumentuotus įrašus (60 GB talpos). Priežiūros institucijos atlikta liudininkų apklausa bei duomenų analizė patvirtino dokumentuotą H&M darbuotojų duomenų rinkimo praktiką.

Beprecedentiniai H&M veiksmai nustačius pažeidimą


Nustačius minėtus pažeidimus, H&M ėmėsi įvairių taisomųjų veiksmų ir ne tik atsiprašė paveiktų darbuotojų, bet ir išmokėjo jiems kompensacijas, kurias gaus darbuotojai, dirbę H&M bent mėnesį nuo BDAR įsigaliojimo. EDAV teigimu, tokių priemonių dar nebuvo ėmusis nei viena bendrovė. H&M taip pat pristatė naują duomenų apsaugos koncepciją, į kurią įeiną naujo duomenų apsaugos koordinatoriaus paskyrimas, mėnesiniai duomenų apsaugos statuso atnaujinimai ir darbuotojų skatinimui pateikti bendrovei informaciją apie galimus pažeidimus bendrovėje ir nuosekli koncepcija, kaip tinkamai įgyvendinti duomenų subjektų teisę susipažinti su bendrovės renkamais duomenimis apie juos.

Pamokos kitiems darbdaviams


Ši situacija tik dar kartą parodo, kad kiekvienas darbdavys, kaip duomenų valdytojas, siekdamas, užtikrinti, kad jo atliekamas asmens duomenų tvarkymas duomenų subjekto atžvilgiu būtų teisėtas, sąžiningas ir skaidrus.

Ypatingą dėmesį reikalinga atkreipti į tai:

  • ar duomenys renkami teisėtais ir aiškiai nustatytais tikslais ir toliau netvarkomi su šiais tikslais nesuderinamu būdu?
  • ar renkami adekvatūs, tinkamai ir tik tokie, kurių reikia siekiant tikslų, dėl kurių jie yra tvarkomi?
  • ar duomenys tikslūs ir, prireikus, atnaujinami?
  • ar duomenys tvarkomi laikantis bent vienos teisėtumo sąlygos (BDAR 6 str.)?
  • ar taikomos riziką atitinkančios asmens duomenų saugumo priemonės?
  • ar apie duomenų tvarkymą informuotas duomenų subjektas?
  • ar gaunami periodiniai duomenų apsaugos statuso atnaujinimai?

Nuorodos








Link to this page