Europos duomenų apsaugos valdybos (toliau - EDAV) duomenimis, Vokietijos priežiūros institucija skyrė H&M 35 mln. Eur baudą už Bendrojo duomenų apsaugos reglamento (toliau - BDAR) pažeidimus tvarkant darbuotojų asmens duomenis. Tai viena didžiausių baudų ES mastu nuo BDAR įsigaliojimo. Kas lėmė baudos skyrimą ir ko galėtų pasimokyti kiti duomenų valdytojai? Apie tai supažindina Duomenų apsaugos pareigūnas Allaw. |
Perteklinis duomenų tvarkymas
H&M dar nuo 2014 m. plačiai dokumentavo dalies darbuotojų privatų gyvenimą. Tai buvo daroma vadovams organizuojant susitikimus su po atostogų ar po laikino nedarbingumo grįžusiais darbuotojais ir saugant šių susitikimų užrašus. Neretai tokiuose užrašuose atsispindėdavo ne tik konkrečios darbuotojų atostogų patirtys, bet ir ligų simptomai ir diagnozės. Kai kurie vadovai turėjo informacijos ir apie darbuotojų religinius įsitikinimus (kas pagal BDAR yra specialių kategorijų asmens duomenys, kuriuos galima tvarkyti tik esant tam tikroms sąlygoms) bei darbuotojų šeimų problemas. Dalis šios informacijos buvo įrašoma ir saugoma skaitmeniniu būdu. Prie kai kurių iš šių įrašų prieigą turėjo daugiau nei 50 vadovų visoje bendrovėje. Įrašai kartais buvo daromi itin išsamiai ir saugomi ilgesnį laiką, dokumentuojant minėtų klausimų raidą. Be kruopštaus individualaus darbo atlikimo įvertinimo, taip surinkti duomenys, be kita ko, buvo naudojami norint gauti išsamų darbuotojų profilį priemonėms ir sprendimams dėl jų įdarbinimo. Labai tikėtina, kad darbuotojai nebuvo informuoti ir negalėjo tikėtis tokių jų asmens duomenų tvarkymo. Toks duomenų rinkimas ir tvarkymas pažeidė BDAR 5 str. a) b) bei c) punktuose įtvirtintus teisėtumo, sąžiningumo bei skaidrumo, tikslo apribojimo ir duomenų kiekio mažinimo principus bei nebuvo pagrįstas jokio teisėtumo sąlyga (BDAR 6 str.).
Prieigos pažeidimai
Be to, kad su minėtais duomenimis galėjo susipažinti daugiau nei 50 vadovų visoje bendrovėje, 2019 m. spalį šie duomenys keletui valandų dėl konfigūravimo klaidos tapo prieinami visos bendrovės mastu. Taigi šalia kitų BDAR principų pažeidimų prisidėjo ir nepakankamas duomenų saugumo užtikrinimas. Vokietijos priežiūros institucija apie tai gavusi informaciją iš žiniasklaidos pradėjo tyrimą, kuriam bendrovė turėjo pateikti visus dokumentuotus įrašus (60 GB talpos). Priežiūros institucijos atlikta liudininkų apklausa bei duomenų analizė patvirtino dokumentuotą H&M darbuotojų duomenų rinkimo praktiką.
Beprecedentiniai H&M veiksmai nustačius pažeidimą
Nustačius minėtus pažeidimus H&M ėmėsi įvairių taisomųjų veiksmų ir ne tik atsiprašė paveiktų darbuotojų, bet ir išmokėjo jiems kompensacijas. EDAV teigimu, tokių priemonių dar nebuvo ėmusis nei viena bendrovė. H&M taip pat pristatė naują duomenų apsaugos koncenpciją, į kurią įeiną naujo duomenų apsaugos koordinatoriaus paskyrimas, mėnesiniai duomenų apsaugos statuso atnaujinimai ir darbuotojų skatinimui pateikti bendrovei informaciją apie galimus pažeidimus bendrovėje ir nuosekli koncepcija kaip tinkamai įgyvendinti duomenų subjektų teisę susipažinti su bendrovės renkamais duomenimis apie juos.
Pamokos kitiems duomenų valdytojams
Ši situacija tik dar kartą parodo, kad kiekvienas duomenų valdytojas siekdamas užtikrinti, kad jo atliekamas asmens duomenų tvarkymas duomenų subjekto atžvilgiu būtų teisėtas, sąžiningas ir skaidrus turi atkreipti ypatingą dėmesį į tai:
- ar duomenys renkami teisėtais ir aiškiai nustatytais tikslais ir toliau netvarkomi su šiais tikslais nesuderinamu būdu?
- ar renkami adekvatūs, tinkamai ir tik tokie, kurių reikia siekiant tikslų, dėl kurių jie yra tvarkomi?
- ar duomenys tikslūs ir prireikus atnaujinami?
- ar duomenys tvarkomi laikantis bent vienos teisėtumo sąlygos (BDAR 6 str.)?
- ar taikomos riziką atitinkančios asmens duomenų saugumo priemonės?
- ar apie duomenų tvarkymą informuotas duomenų subjektas?
Nuorodos
| Short Description | Klientų teisinis konsultavimas | hide |
|---|
| Doctype | it-process | hide |
|---|
| Name | Konsultavimas | hide |
|---|
| Short Name | The shortened name of the document to be unique within the doctype's defined context. | hide |
|---|
| Parent | | hide |
|---|
| Audience | | hide |
|---|
| Sritis | | hide |
|---|
| Categories | | hide |
|---|
| Tags | | hide |
|---|
| Flags | Flags are like tags, but are not documented. For teams that require each tag to have a tag document, flags do not define such a demand. | hide |
|---|
| Iteration | | hide |
|---|
| Susijusios paslaugos | Allaw® duomenų apsaugos pareigūnas | hide |
|---|
| Type | | hide |
|---|
| Lifecycle Phase | | hide |
|---|
| Participants | | hide |
|---|
| Triggered by | | hide |
|---|
| Susijusi informacija | | hide |
|---|
| Pateikti užklausą |
| hide |
|---|
| Outcome List | | hide |
|---|
| Impact List | | hide |
|---|
| Sort Key | Add a character sequence to support sorting documents. | hide |
|---|
|
