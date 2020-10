Adatvédelem

Súlyosan megsértették az alkalmazottak jogait - 12,5 milliárd forintos bírságot kapott a H&M

A GDPR történetében a második legnagyobb bírságot szabta ki 2020. október 1-jén a Hamburgi Adatvédelmi Hatóság (BfDI) a nürnbergi Hennes & Mauritz AB (H&M) ellen. A 35.258.707 euró összegét tekintve némileg elmarad az első helytől, amelyet a francia hatóság a Google-re mért, de a jövőben még akár dobogós helyre is számíthat a Marriottra és a British Airwaysre belengetett bírságok csökkentését követően - írta az adatvédelemmel foglalkozó szaklap, a gdpr.news.hu.



Az ügy akkor robbant ki, amikor 2019-ben egy konfigurációs hiba miatt a vállalat nürnbergi szolgáltatóközpontjának valamennyi alkalmazottja átmenetileg hozzáfért a munkavállalókról tárolt adatokhoz, majd ezt követően a cég bejelentést tett a hivatalos szerveknél. A vizsgálat során fény derült rá, hogy legalább 2014 óta a H&M széles körben gyűjtött adatokat alkalmazottai magánéletével kapcsolatban.



Az információk megszerzésére tipikusan akkor került sor, amikor egy-egy alkalmazott hosszabb távollét után tért vissza munkahelyére. Ilyen esetekben egy „welcome back” beszélgetésen kellett részt vennie a menedzsereivel, mely beszélgetés tartalmát lejegyezték és feltöltötték egy központi adatbázisba. Olyan információk kerültek így a cég birtokába, mint például az alkalmazottak korábbi nyaralásai, családi problémái, vallásos meggyőződése, egészségügyi problémái és diagnózisai, melyek mind rögzítve lettek egy 50 vezető által elérhető adatbázisban.



Az illegális adatgyűjtés azonban nem állt itt meg, a vizsgálat azt is kiderítette: olyan személyes információk is feljegyzésre kerültek, amelyeket az alkalmazottak munka közben, vagy személyes beszélgetések során osztottak meg feletteseikkel. A BfDI a mintegy 60GB adat átvizsgálása után megállapította, hogy a H&M adatkezelési tevékenysége súlyosan sérti az alkalmazottak személyiségi jogait és élesen szembemegy a GDPR rendelkezéseivel.

A H&M válaszában teljes felelősséget vállalt a történtekért és bocsánatot kért alkalmazottjaitól; állítólag az érintett munkatársak anyagi kárpótlásra is számíthatnak. Kiemelté, hogy az ügyben történt adatkezelési gyakorlat nem áll összhangban a H&M irányelveivel. A cég ezen kívül számos azonnali intézkedést vezetett be a hasonló esetek elkerülése végett.



A H&M a bírság összegét sem vitatta. A hatóság ezzel kapcsolatban megjegyezte, hogy akkora összegű adatvédelmi bírságot szabtak ki, amely reményük szerint eltántorítja a többi, Németországban működő céget hasonló gyakorlatok alkalmazásától. A bírság mértékének megállapítása során szempont volt a cég mérete, az érintettek magas száma, illetve a törvénysértések súlyossága is.



A hír a bírságról nem sokkal azután érkezett, hogy a H&M bejelentette 166 üzlete bezárását világszerte. A cég jelenleg több, mint 5.000 üzletet üzemeltet. A bezárásoknak állítólag nincs közük a hatóság bírságához, azokra azért volt szükség, mert a Covid-19 járvány miatt a fogyasztók jelentősen kevesebbet vásárolnak személyesen és többet online; így a továbbiakban nem volt nyereséges a bezárásra váró üzletek működtetése.