12,5 milliárd forintos adatvédelmi bírságot kapott a H&M

október 5, 2020
Cikkek, GDPR bírság

2020. október 1-én a Hamburgi Adatvédelmi Hatóság (BfDI) a GDPR történetében a második legnagyobb bírságot szabta ki 35.258.707 euró összegben a nürnbergi Hennes & Mauritz AB (H&M) ellen. Összegét tekintve a bírság némileg elmarad az első helytől, melyet a francia Hatóság mért a Google-re, de a jövőben még akár dobogós helyre is számíthat a Marriottra és a British Airwaysre belengetett bírságok csökkentését követően.

Az ügy akkor robbant ki, amikor 2019-ben egy konfigurációs hiba miatt átmenetileg a nürnbergi service center valamennyi alkalmazottja hozzáfért a munkavállalókról tárolt adatokhoz, majd ezt követően a cég bejelentést tett a Hatóságnál. A vizsgálat során fény derült rá, hogy legalább 2014 óta a H&M széles körben gyűjtött adatokat alkalmazottai magánéletével kapcsolatban.

Az információk megszerzésére tipikusan akkor került sor, amikor egy-egy alkalmazott hosszabb távollét után tért vissza munkahelyére. Ilyen esetekben egy „welcome back” beszélgetésen kellett részt vennie a menedzsereivel, mely beszélgetés tartalmát lejegyezték és feltöltötték egy központi adatbázisba. Olyan információk kerültek így a cég birtokába, mint például az alkalmazottak korábbi nyaralásai, családi problémái, vallásos meggyőződése, egészségügyi problémái és diagnózisai, melyek mind rögzítve lettek egy 50 vezető által elérhető adatbázisban.

Az illegális adatgyűjtés azonban nem állt itt meg, a Hatóság vizsgálata arra is rámutatott, hogy olyan személyes információk is feljegyzésre kerültek, melyeket az alkalmazottak munka közben, vagy személyes beszélgetések során osztottak meg feletteseikkel. A BfDI a mintegy 60GB adat átvizsgálása után megállapította, hogy a H&M adatkezelési tevékenysége súlyosan sérti az alkalmazottak személyiségi jogait és élesen szembemegy a GDPR rendelkezéseivel.

A H&M válaszában teljes felelősséget vállalt a történtekért és bocsánatot kért alkalmazottjaitól; állítólag az érintett munkatársak anyagi kárpótlásra is számíthatnak. Kiemelte, hogy az ügyben történt adatkezelési gyakorlat nem áll összhangban a H&M irányelveivel. A cég ezen kívül számos azonnali intézkedést vezetett be a hasonló esetek elkerülése végett:

személyzeti változásokat eszközölt a nürnbergi service center vezetői között,
további adatvédelmi és jogi tréninget vezetett be alkalmazottainak,
új, felülvizsgált utasításokat adott a menedzsereknek,
külön pozíciót hozott létre az adatkezelés szabályosságának folyamatos felügyeletére,
fejlesztéseket vezetett be a tárolt személyes adatok törlésével kapcsolatban, valamint
módosításokat végzett informatikai rendszerein.

A H&M a bírság összegét sem vitatta. A Hatóság ezzel kapcsolatban megjegyezte, hogy akkora összegű adatvédelmi bírságot szabtak ki, mely reményük szerint eltántorítja a többi, Németországban működő céget hasonló gyakorlatok alkalmazásától. A bírság mértékének megállapítása során szempont volt a cég mérete, az érintettek magas száma, illetve a törvénysértések súlyossága is.

A hír a bírságról nem sokkal azután érkezett, hogy a H&M bejelentette 166 üzlete bezárását világszerte. A cég jelenleg több, mint 5.000 üzletet üzemeltet. A bezárásoknak állítólag nincs közük a Hatóság bírságához, azokra azért volt szükség, mert a Covid-19 járvány miatt a fogyasztók jelentősen kevesebbet vásárolnak személyesen és többet online; így a továbbiakban nem volt nyereséges a bezárandó üzletek működtetése.

Adatvédelmi bírság GDPR 5. cikk GDPR 6. cikk GDPR 83. cikk GDPR 9. cikk GDPR Bírság Különleges adat Munkavégzés Munkaviszony Németország Relevancia érték: 3

NAIH határozat: Adatvédelmi incidenssel kapcsolatos kötelezettségek elmulasztása

Schrems II. ítélet, avagy a Privacy Shield halála (1. rész)

Belgium: döntés a munkavállalói hozzájárulással kapcsolatban