Vršite monitoring zaposlenih? Budite pametniji od H&M-a i izbegnite skupe kazne

Dosadašnje iskustvo pokazalo nam je da mnoštvo poslodavaca prikuplja prekomeran broj podataka o svojim zaposlenima, kao i da su njihove aktivnosti često sprovedene suprotno principima zaštite podataka o ličnosti. Neretko se dešava da su poslodavci indiferentni prema zakonskim odredbama koje se tiču zaštite privatnosti zaposlenih, te ne ispunjavaju ni osnovne obaveze, što još uvek prolazi nezapaženo u uslovima nedovoljne informisanosti zaposlenih.

Tešku povredu prava na privatnost zaposlenih učinio je i lanac modnih prodavnica H&M (Hennes & Mauritz) u Nemačkoj, koga je početkom oktobra ove godine nadležni Poverenik za zaštitu podataka o ličnosti i slobodu informisanja (u daljem tekstu: Poverenik) obavezao na plaćanje novčane kazne zbog nezakonite obrade podataka o ličnosti. Iznos kazne od neverovatnih 35.3 miliona evra je po visini na drugom mestu do sada izrečenih kazni za kršenje GDPR-a, odmah iza kazne izrečene kompaniji Google 2019. godine u Francuskoj.

Primer H&M-a treba da bude važna lekcija i za poslodavce u Srbiji, imajući u vidu da je u avgustu 2019. godine počeo da se primenjuje Zakon o zaštiti podataka o ličnosti, koji u najvećoj meri predstavlja repliku Opšte uredbe EU o zaštiti podatka o ličnosti (GDPR). Novi Zakon postavlja visok standard zaštite podataka o ličnosti koga moraju da se pridržavaju svi poslodavci u odnosu na podatke koje prikupljanju od zaposlenih, baš kao i poslodavci u okviru EU (odnosno EEA[1]). Dakle, ponavljanje grešaka H&M-a ili uopšte zanemarivanje zakonskih obaveza od strane domaćih poslodavaca sigurno može dovesti do teških sankcija i kompromitovanja reputacije.

Kako je bolje učiti na tuđim greškama, verujemo da primer aktuelne situacije sa H&M-om nosi važnu pouku za poslodavce u Srbiji.

Slučaj kažnjavanja H&M-a u Nemačkoj

Koje podatke o zaposlenima je prikupljao H&M?

Rezultati istrage sprovedene od strane hamburškog Poverenika su zabrinjavajući: utvrđeno je da su tokom godina prikupljeni brojni podaci o ličnosti koji se odnose na više stotina zaposlenih u glavnom korisničkom centru H&M-a u Nirnbergu. Između ostalog, otkriveno je da je ova kompanija u svojim bazama čuvala podatke o privatnim životima svojih zaposlenih: o njihovom porodičnom statusu, religijskom opredeljenju, boravcima u inostranstvu, pa čak i o zdravstvenom stanju, istoriji bolesti i postavljenim dijagnozama. Ni detalji o avanturama na putovanjima ili simptomima bolesti po povratku iz inostranstva nisu prošli neprimećeno, već su i oni beleženi „za svaki slučaj“. Štaviše, evidencije o određenim podacima vođene su u kontinuitetu, te su s vremena na vreme ažurirane novim informacijama, na taj način prateći razvoj pojedinih životnih situacija zaposlenih lica.

Informacije su prikupljane najčešće pomoću takozvanih „razgovora dobrodošlice“ koji su organizovani od strane rukovodećih lica nakon povratka zaposlenih lica sa bolovanja ili godišnjih odmora. Pored toga, zaposleni su veliki broj privatnih detalja o sebi i svojim porodicama izneli i prilikom svakodnevnih, nezvaničnih razgovora sa nadređenima, a ono što nisu znali je da su tako iznete informacije beležene i trajno čuvane u elektronskoj formi na cloud serveru H&M-a. Tako formiranim bazama podataka pristup je imalo ponekad i preko 50 menadžera u okviru kompanije.

Kako je ustanovljeno koje podatke H&M sakuplja?

Nezakonito postupanje drugog najvećeg proizvođača odeće u svetu otkriveno je nakon što su u oktobru 2019. godine prikupljeni podaci postali dostupni javnosti na nekoliko sati, usled sigurnosnog napada na sistem H&M-a. Po saznanju da je došlo do otkrivanja poverljivih informacija, Poverenik je izdao naredbu za „zamrzavanje“ elektronske baze podataka kompanije, nakon čega je upućen zahtev kompaniji za dostavljanje Povereniku svih informacija iz baze radi njihove procene. Analiza preko 60 dostavljenih gigabajta podataka trajala je skoro godinu dana, a na osnovu rezultata ustanovljeno je da od 2014. godine H&M vodi veoma opširnu evidenciju podataka o privatnim životima zaposlenih, na taj način grubo zadirući u njihovu privatnost.

Ipak, nije teško zamislivo da su podaci o ovakvoj praksi H&M-a mogli postati poznati javnosti i na drugi način. Često se dešava da se zaposleni, koji ima saznanja o protivpravnom postupanju poslodavca, obrati nadležnim organima (nekad i u svojstvu uzbunjivača) ili traži zaštitu svojih prava u sudskom postupku u svojstvu tužioca. U Dizeldorfu je nedavno sud u radnom sporu dosudio zaposlenom iznos od 5.000 evra na račun poslodavca zbog kašnjenja i propusta u omogućavanju zaposlenom da pristupi svojim podacima kod poslodavca u skladu sa GDPR-om. [2]

Kako je H&M koristio podatke o zaposlenima?

Na osnovu privatnih informacija do kojih su rukovodioci H&M-a tokom vremena dolazili vršene su, između ostalog, detaljne procene rada pojedinačnih zaposlenih, kao i njihovo profilisanje. Naročito alarmantna je činjenica da su prikupljeni podaci bili od direktnog uticaja prilikom odlučivanja o pitanjima u vezi sa radnim odnosima zaposlenih, kao i da su potencijalno doveli do sprovođenja različitih mera usmerenih prema zaposlenim licima.

Koje posledice trpi H&M?

Hamburški Poverenik je u zvaničnom saopštenju za medije utvrdio da prikupljanje podataka o privatnom životu zaposlenih, u kombinaciji sa njihovim beleženjem i čuvanjem, predstavlja ozbiljno zadiranje u građanska prava lica na koje se podaci odnose. Prema rečima ovog organa, slučaj H&M-a je do sada neviđen primer postupanja jedne kompanije koje za posledicu ima incident u oblasti zaštite podataka o ličnosti.

Izrečena kazna od 35.3 miliona je procenjena od strane Poverenika kao srazmerna, prikladna i odgovarajuća, a naročito sa ciljem budućeg preventivnog delovanja na druge kompanije u pogledu kršenja prava ličnosti svojih zaposlenih.

Uz veliku novčanu kaznu, H&M je sveobuhvatno poučen od strane Poverenika i o tome koje dodatne napore treba uložiti radi usaglašavanja svog poslovanja sa odredbama GDPR-a.

Između ostalog, promene u okviru kompanije obuhvataju:

  • smenjivanja lica na rukovodećim pozicijama,
  • sprovođenje dodatnih obuka i treninga osoblja iz oblasti zaštite podataka o ličnosti,
  • reviziju akata iz iste oblasti i unapređenje IT sistema koje kompanija koristi, sve sa ciljem naglašavanja važnosti adekvatnog prikupljanja i čuvanja ličnih podataka.

Pored navedenih mera, novi koncept zaštite podataka podrazumevaće i:

  • određivanje lica za zaštitu podataka,
  • podnošenje mesečnih izveštaja Povereniku,
  • unapređenje pravila o zaštiti uzbunjivača,
  • kao i prava zaposlenih u pogledu podataka o ličnosti koji se o njima prikupljaju.

Pored svih navedenih negativnih posledica, šteta za reputaciju H&M-a (kako u odnosu na zaposlene tako i u odnosu na potrošače) je u ovom momentu nesaglediva.

Na internet stranici H&M-a kompanija je javno prihvatila odgovornost za uočene nezakonitosti i obavestila javnost o konkretnim radnjama preduzetim u tom pravcu. Jedna od mera kontrole štete po reputaciju je i odluka o isplati novčane naknade svim zaposlenima koji su bili u radnom odnosu u kompaniji najmanje jedan mesec od maja 2018. godine, kada je GDPR stupio na snagu.

Koja je pouka za poslodavce u Srbiji?

H&M je svojim postupanjem prekršio nekoliko osnovnih načela GDPR-a za čiju primenu je odgovoran kao rukovalac podacima:

1) načelo zakonitosti, poštenosti i transparentnosti,

2) ograničenost u odnosu na svrhu obrade,

3) načelo minimizacije podataka,

4) ograničenje čuvanja.

Ista ova načela (između ostalog) propisana su Zakonom o zaštiti podataka o ličnosti, koji se primenjuje na poslodavce u Srbiji.

Iako je H&M-u u ovom slučaju izrečena kazna, postupanje ove kompanije nije izdvojen slučaj. Naprotiv, izvesno je da mnogi drugi poslodavci svojim ustaljenim praksama vrše povredu prava na privatnost svojih zaposlenih. Veoma često takve povrede su učinjene kroz pravila o upotrebi najnovijih tehnologija i društvenih mreža, a nedozvoljene aktivnosti koje se najčešće mogu sresti u praksi jesu:

  • propuštanje propisnog obaveštavanja zaposlenih o svim načinima obrade podataka o ličnosti,
  • nezakonito nadgledanje poslovnih mejlova zaposlenih,
  • nezakonit nadzor nad internet aktivnostima zaposlenih,
  • snimanje telefonskih razgovora putem službenog telefona,
  • zloupotreba BYOD (Bring Your Own Device) politike,
  • video nadzor na radnom mestu bez pravnog osnova ili bez propisane dokumentacije koja takav nadzor mora da prati,
  • nepravilna primena zakonskih odredaba o saglasnosti zaposlenog za prikupljanje i obradu njegovih podataka o ličnosti,
  • prekomerno prikupljanje podataka o kandidatima za posao (tzv. „background checks“).

Nedovoljna informisanost u pogledu zaštite podataka o ličnosti na radnom mestu može dovesti do kršenja prava zaposlenih, te je neophodno na vreme se informisati, kako bi se blagovremeno izbegla sudbina koja je zadesila H&M.

Samo neke od osnovnih obaveza poslodavaca su:

1) Mapiranje podataka – podrazumeva proces identifikacije svih vrsta podataka koji se obrađuju, svrhe zbog koje se obrađuju i ustanovljavanja pravnog osnova obrade.

2) Kompletno revidiranje potencijalno problematičnih obrada podataka i prilagođavanje/uvođenje procedura.

3) Adekvatno obaveštavanje zaposlenih o podacima koje prikupljaju, načinima obrade, svrsi, pravnom osnovu, roku čuvanja podataka, licima sa kojima dele podatke i svim drugim obaveznim informacijama.

4) Periodična organizacija treninga HR osoblja i menadžmenta o usklađenosti sa Zakonom o zaštiti podataka o ličnosti.

5) Uvođenje strogih pravila kontrole pristupa podacima o ličnosti zaposlenih.

6) Jasno razdvajanje privatnih aktivnosti zaposlenih od poslovnih.

Poslodavci moraju imati u vidu da pandemija COVID-19 ne daje mogućnost da uvedu ograničenja na prava na privatnost ili da svoje zakonske obaveze zanemare, kako smo o tome ranije pisali.

Na kraju, zaštita podataka o ličnosti mora postati jedan od osnovnih postulata na kojem počiva organizacija svakog poslodavca. Osim višestruko negativnih posledica koje smo detaljno analizirali u tekstu „5 opasnih posledica nepoštovanja Zakona o zaštiti podataka o ličnosti“, građenje uspešne kompanije, koja zapošljava sposoban i ambiciozan kadar, danas je nespojivo sa grubim kršenjem prava zaposlenih.

[1] Radi pojašnjenja, GDPR se primenjuje na 28 država članica EU, ali i na članice Evropske ekonomske zone (EEA), što uključuje i Island, Norvešku i Lihtenštajn.
[2] Sud u Dizeldorfu, Odluka br. 9 Ca 6557/18.

Najnovije:

NEWSLETTER

Budite u toku sa najvažnijim informacijama

NOVI SAD

BEOGRAD

NOVI SAD

BEOGRAD