Iz dosadašnjeg iskustva zaključili smo da mnoštvo poslodavaca prikuplja prekomeran broj podataka o svojim zaposlenima, kao i da su njihove aktivnosti često sprovedene suprotno principima zaštite podataka o ličnosti. Neretko se dešava da su poslodavci indiferentni prema zakonskim odredbama koje se tiču zaštite privatnosti zaposlenih, te ne ispunjavaju ni osnovne obaveze, što još uvek prolazi nezapaženo u uslovima nedovoljne informisanosti zaposlenih.
Tešku povredu prava na privatnost zaposlenih učinio je i lanac modnih prodavnica H&M (Hennes & Mauritz) u Nemačkoj, koga je početkom oktobra ove godine nadležni Poverenik za zaštitu podataka o ličnosti i slobodu informisanja (u daljem tekstu: Poverenik) obavezao na plaćanje novčane kazne zbog nezakonite obrade podataka o ličnosti. Iznos kazne od neverovatnih 35.3 miliona evra je po visini na drugom mestu do sada izrečenih kazni za kršenje GDPR-a, odmah iza kazne izrečene kompaniji Google 2019. godine u Francuskoj.
Primer H&M-a treba da bude velika lekcija i za poslodavce u Srbiji, imajući u vidu da je u avgustu 2019. godine počeo da se primenjuje Zakon o zaštiti podataka o ličnosti, koji u najvećoj meri predstavlja repliku Opšte uredbe EU o zaštiti podatka o ličnosti (GDPR). Zakon postavlja visok standard zaštite podataka o ličnosti koga moraju da se pridržavaju svi poslodavci u odnosu na podatke koje prikupljanju od zaposlenih, baš kao i poslodavci u okviru EU (odnosno EEA [1]). Dakle, ponavljanje grešaka H&M-a ili uopšte zanemarivanje zakonskih obaveza od strane domaćih poslodavaca sigurno umože dovesti do teških sankcija i negativnih posledica po reputaciju kompanije.
Kako je bolje učiti na tuđim greškama, verujemo da primer situacije sa H&M-om može biti velika pouka za poslodavce u Srbiji.
Slučaj kažnjavanja H&M-a u Nemačkoj
Koje podatke o zaposlenima je prikupljao H&M?
Rezultati istrage sprovedene od strane hamburškog Poverenika su zabrinjavajući: utvrđeno je da su tokom godina prikupljani brojni podaci o ličnosti koji se odnose na više stotina zaposlenih u glavnom korisničkom centru H&M-a u Nirnbergu. Tokom istrage otkriveno je da je ova kompanija u svojim bazama čuvala podatke o privatnim životima zaposlenih: o njihovom religijskom opredeljenju, porodičnom statusu, boravcima u inostranstvu, pa čak i o zdravstvenom stanju, istoriji bolesti i postavljenim dijagnozama. Čak ni detalji o avanturama na putovanjima ili simptomima bolesti po povratku iz inostranstva nisu prošli neprimećeno, već su i oni beleženi „za svaki slučaj“. Štaviše, evidencije o određenim podacima vođene su u kontinuitetu, te su s vremena na vreme ažurirane novim informacijama, na taj način prateći razvoj pojedinih životnih situacija zaposlenih lica.
Informacije su prikupljane najčešće pomoću takozvanih „razgovora dobrodošlice“ koji su organizovani od strane rukovodećih lica nakon povratka zaposlenih lica sa bolovanja ili godišnjih odmora. Pored toga, zaposleni su veliki broj privatnih detalja o sebi i svojim porodicama izneli i prilikom svakodnevnih, nezvaničnih razgovora sa nadređenima, a ono što nisu znali je da su tako iznete informacije beležene i trajno čuvane u elektronskoj formi na cloud serveru H&M-a. Ponekad je i preko 50 menadžera u okviru kompanije imalo pristup tako formiranim bazama podataka.
Kako je ustanovljeno koje podatke H&M sakuplja?
Nezakonito postupanje drugog najvećeg proizvođača odeće u svetu otkriveno je nakon što su u oktobru 2019. godine, usled sigurnosnog napada na sistem H&M-a, prikupljeni podaci postali dostupni javnosti na nekoliko sati Po saznanju da je došlo do otkrivanja poverljivih informacija, Poverenik je izdao naredbu za „zamrzavanje“ elektronske baze podataka kompanije, nakon čega je upućen zahtev kompaniji za dostavljanje Povereniku svih informacija iz baze radi njihove procene. Analiza preko 60 dostavljenih gigabajta podataka trajala je skoro godinu dana, a na osnovu rezultata ustanovljeno je da od 2014. godine H&M vodi veoma opširnu evidenciju podataka o privatnim životima zaposlenih, na taj način grubo zadirući u njihovu privatnost.
Ipak, sigurno je da su podaci o ovakvoj praksi H&M-a mogli postati poznati javnosti i na drugi način. Često se dešava da se zaposleni, koji ima saznanja o protivpravnom postupanju poslodavca, obrati nadležnim organima (nekad i u svojstvu uzbunjivača) ili zatraži zaštitu svojih prava u sudskom postupku. U Dizeldorfu je nedavno sud u radnom sporu dosudio zaposlenom iznos od 5.000 evra na račun poslodavca zbog kašnjenja i propusta u omogućavanju zaposlenom da pristupi svojim podacima kod poslodavca u skladu sa GDPR-om. [2]
Kako je H&M koristio podatke o zaposlenima?
Privatne informacije do kojih su rukovodioci H&M-a tokom vremena dolazili korišćene su, između ostalog, i za detaljne procene rada pojedinačnih zaposlenih, kao i njihovo profilisanje. Naročito alarmantna je činjenica da su prikupljeni podaci bili od direktnog uticaja prilikom odlučivanja o pitanjima u vezi sa radnim odnosima zaposlenih, kao i da su potencijalno doveli do sprovođenja različitih mera usmerenih prema zaposlenim licima.
Koje posledice trpi H&M?
Hamburški Poverenik je u zvaničnom saopštenju za medije istakao da prikupljanje podataka o privatnom životu zaposlenih, u kombinaciji sa njihovim beleženjem i čuvanjem, predstavlja ozbiljno zadiranje u građanska prava lica na koje se podaci odnose. Prema rečima ovog organa, slučaj H&M-a je do sada neviđen primer postupanja jedne kompanije koje za posledicu ima incident u oblasti zaštite podataka o ličnosti.
Izrečena kazna od 35.3 miliona je procenjena od strane Poverenika kao srazmerna, prikladna i odgovarajuća, a naročito sa ciljem budućeg preventivnog delovanja na druge kompanije u pogledu kršenja prava ličnosti svojih zaposlenih.
Uz veliku novčanu kaznu, H&M je sveobuhvatno poučen od strane Poverenika i o tome koje mere treba preduzeti radi usaglašavanja svog poslovanja sa odredbama GDPR-a.
Između ostalog, promene u okviru kompanije obuhvataju:
- smenjivanja lica na rukovodećim pozicijama,
- sprovođenje dodatnih obuka i treninga osoblja iz oblasti zaštite podataka o ličnosti,
- reviziju akata iz iste oblasti i unapređenje IT sistema koje kompanija koristi, sve sa ciljem naglašavanja važnosti adekvatnog prikupljanja i čuvanja ličnih podataka.
Pored navedenih mera, novi koncept zaštite podataka podrazumevaće i:
- određivanje lica za zaštitu podataka,
- podnošenje mesečnih izveštaja Povereniku,
- unapređenje pravila o zaštiti uzbunjivača,
- kao i prava zaposlenih u pogledu podataka o ličnosti koji se o njima prikupljaju.
Pored svih navedenih negativnih posledica, ovaj slučaj naneo je nesagledivu štetu reputaciji H&M-a,kako u odnosu na zaposlene tako i u odnosu na potrošače.
Nakon istrage, na internet stranici H&M-a kompanija je javno prihvatila odgovornost za uočene nezakonitosti i obavestila javnost o konkretnim radnjama preduzetim u tom pravcu. Jedna od mera kontrole štete po reputaciju je i odluka o isplati novčane naknade svim zaposlenima koji su bili u radnom odnosu u kompaniji najmanje jedan mesec od maja 2018. godine, kada je GDPR stupio na snagu.
Koja je pouka za poslodavce u Srbiji?
H&M je svojim postupanjem prekršio nekoliko osnovnih načela GDPR-a za čiju primenu je odgovoran kao rukovalac podacima:
1) načelo zakonitosti, poštenosti i transparentnosti,
2) ograničenost u odnosu na svrhu obrade,
3) načelo minimizacije podataka,
4) ograničenje čuvanja.
Ista ova načela (između ostalog) propisana su Zakonom o zaštiti podataka o ličnosti, koji se primenjuje na poslodavce u Srbiji.
Iako je H&M-u u ovom slučaju izrečena kazna, postupanje ove kompanije nije izdvojen slučaj. Naprotiv, izvesno je da mnogi drugi poslodavci svojim ustaljenim praksama vrše povredu prava na privatnost svojih zaposlenih. Veoma često takve povrede su učinjene kroz pravila o upotrebi najnovijih tehnologija i društvenih mreža, a nedozvoljene aktivnosti koje se najčešće mogu sresti u praksi jesu:
- propuštanje propisnog obaveštavanja zaposlenih o svim načinima obrade podataka o ličnosti,
- nezakonito nadgledanje poslovnih mejlova zaposlenih,
- nezakonit nadzor nad internet aktivnostima zaposlenih,
- snimanje telefonskih razgovora obavljenih sa službenog telefona,
- zloupotreba BYOD (Bring Your Own Device) politike,
- video nadzor na radnom mestu bez pravnog osnova ili bez propisane dokumentacije koja takav nadzor mora da prati,
- nepravilna primena zakonskih odredaba o saglasnosti zaposlenog za prikupljanje i obradu njegovih podataka o ličnosti,
- prekomerno prikupljanje podataka o kandidatima za posao (tzv. „background checks“).
Nedovoljna informisanost u pogledu zaštite podataka o ličnosti na radnom mestu svakako može biti jedan od uzroka kršenja prava zaposlenih, te je neophodno na vreme se informisati, kako bi se blagovremeno izbegla sudbina koja je zadesila H&M.
Samo neke od osnovnih obaveza poslodavaca su:
1) Mapiranje podataka – podrazumeva proces identifikacije svih vrsta podataka koji se obrađuju, svrhe zbog koje se obrađuju i ustanovljavanja pravnog osnova obrade.
2) Kompletno revidiranje potencijalno problematičnih obrada podataka i prilagođavanje/uvođenje procedura.
3) Adekvatno obaveštavanje zaposlenih o podacima koje prikupljaju, načinima obrade, svrsi, pravnom osnovu, roku čuvanja podataka, licima sa kojima dele podatke i svim drugim obaveznim informacijama.
4) Periodična organizacija treninga HR osoblja i menadžmenta o usklađenosti sa Zakonom o zaštiti podataka o ličnosti.
5) Uvođenje strogih pravila kontrole pristupa podacima o ličnosti zaposlenih.
6) Jasno razdvajanje privatnih aktivnosti zaposlenih od poslovnih.
Poslodavci moraju imati u vidu da pandemija, ni pandemija COVID-19 nije bila osnov za uvođenje ograničenja prava na privatnost ili za zanemarivanje zakonskih obaveza poslodavaca iz domena zaštite podataka o ličnosti, kako smo o tome ranije pisali.
Na kraju, zaštita podataka o ličnosti mora postati jedan od osnovnih postulata na kojem počiva organizacija svakog poslodavca. Osim višestruko negativnih posledica koje smo detaljno analizirali u tekstu „5 opasnih posledica nepoštovanja Zakona o zaštiti podataka o ličnosti“, građenje uspešne kompanije, koja zapošljava sposoban i ambiciozan kadar, nespojivo je sa grubim kršenjem prava na privatnost zaposlenih.