32 milijuna EUR je bezobrazno visoka kazna i kršenje GDPR-a, koje bi zasluživalo takvu kaznu, također mora biti bezobrazno. I Amazon je uspio u tome.

U studenom 2019. je francusko nadzorno tijelo (CNIL) provelo inspekcije u skladišnim prostorima Amazon France Logistique kako bi provjerili obrade osobnih podataka zaposlenika putem skenera i videonadzora. Otkrili su da poslodavac zaposlenike oprema skenerom kojim identificira zaposlenike, daje im upute, skenira oznake predmeta kojima zaposlenici rukuju u skladištu itd.

Na taj način je Amazon kontinuirano prikupljao podatke koji se odnose na aktivnost zaposlenika dodijeljenih neposrednim zadacima što omogućuje mjerenje aktivnosti zaposlenika, posebice brojanjem jedinica koje obrađuju tijekom određenog razdoblja.

Pokazatelji neaktivnosti prijavljeni su u stvarnom vremenu za svakog zaposlenika, što je omogućavalo Amazonu da prati svaku gestu koju je zaposlenik napravio u svakom izravnom zadatku koji mu je dodijeljen, pridružujući mu indikator pogreške svaki put kada je njihova brzina manja od 1,25 sekundi.

Ovi pokazatelji pohranjeni su bili 31 dan i na temelju njih izrađivana su tjedna izvješća o radu svakog zaposlenika, a sadržavala su tjednu, dnevnu i satnu statistiku o poštivanju procedura kvalitete i produktivnosti.

CNIL je utvrdio da je ovakvo praćenje zaposlenika vjerojatno imalo moralne posljedice na njih, a pokazatelji neaktivnosti bili su povezani s identitetom svakog zaposlenika, što je u praksi prisiljavalo zaposlenike da moraju opravdati bilo koje vrijeme koje se smatra neproduktivan. Utvrdili su da su te mjere bile vrlo nametljive i da se stoga ne mogu temeljiti na članku 6. stavku 1. točki (f) GDPR-a, odnosno, valjanom legitimnom interesu Amazona.

Drugo, članak 5. stavak 1. točka (c) GDPR-a ukazuje na to da bi osobni podaci trebali biti primjereni, relevantni i ograničeni na ono što je potrebno u pogledu svrhe (smanjenje podataka). CNIL je također primijetio da obrada nije bila u skladu s člankom 5. stavkom 1. točkom (c) GDPR-a u pogledu obrade pokazatelja kvalitete i produktivnosti u svrhu preraspodjele i podučavanja zaposlenika u stvarnom vremenu, obrade koja se provodi u svrhu tjednog planiranja i obrada u svrhu procjene zaposlenika. CNIL je smatrao da čuvanje i pristup svim ovim neobrađenim podacima koji se koriste u te svrhe nije potrebno.

Treće, voditelj obrade prekršio je obveze informiranja zaposlenika prema članku 12. GDPR-a jer privremeni radnici nisu dobili informacije o obradi njihovih osobnih podataka, niti su bili pozvani da se s njom upoznaju na intranetu. CNIL je smatrao da stavljanje informacija o obradi na intranet za zaposlenike koji rade u skladištima, a koji nisu namijenjeni za rad na uredskom računalu, ne predstavlja zadovoljavajuće sredstvo informiranja.

Četvrto, CNIL je smatrao da se AMazon nije pridržavao članka 13. GDPR-a u vezi s videonadzorom budući da nije dao informaciju koliko dugo će se podaci čuvati, pravo na podnošenje pritužbe CNIL-u i kontakt podatke DPO-a.

 

Nadamo se da ovakvih primjera kod nas nema…

Više o slučaju na:

https://gdprhub.eu/index.php?title=CNIL_(France)_-_SAN-2023-021&mtc=today

 

Image by senivpetro on Freepik

#gdprcroatia