GDPR: רשת H&M הפרה פרטיות עובדים ותשלם קנס של 35 מיליון אירו

בתחילת אוקטובר פירסמה רשות הגנת הפרטיות הגרמנית כי רשת H&M ביצעה הפרות חמורות של הפרטיות של העובדים שלה. החברה, בעקבות הפרת תקנות GDPR תשלם קנס של כ – 35 מיליון אירו.

על פי הפרסום, רשת H&M נהגה באופן שיטתי לאסוף מידע הנוגע לחייהם האישיים של מאות עובדים במרכז שירות הלקוחות שלה בעיר נירנברג שבגרמניה. המידע נאסף במהלך שיחות לא פורמליות עם העובדים (כגון במהלך "שיחות מסדרון"), וכלל מידע על אבחנות רפואיות, סוגיות משפחתיות, אמונות דתיות ועוד. המידע שנאסף שימש, בין היתר, ליצירת פרופיל מפורט של העובדים לצורך קבלת החלטות בקשר להעסקתם.

שיטת איסוף נתונים זו נחשפה עקב תקלה טכנית אשר בעקבותיה המידע היה זמין ברשת הארגונית של החברה למשך מספר שעות, מה שהוביל לסיקור תקשורתי של האירוע. לאחר שרשות הגנת הפרטיות בהמבורג נחשפה לפרסומים הללו, היא יזמה חקירה כנגד רשת H&M. לבסוף, הרשות קבעה כי "השילוב של איסוף פרטים על חייהם הפרטיים ותיעוד הפעילות שלהם הוביל לפגיעה אינטנסיבית במיוחד בזכויות האזרחיות של העובדים".

עקב האירוע H&M הודתה בקיומן של שיטות איסוף המידע הללו במרכז שירות הלקוחות של הרשת בנירנברג. הרשת התנצלה בפני עובדיה ושילמה פיצוי כספי לכלל העובדים שהועסקו במרכז השירות החל משנת 2018, שבמהלכה נכנסו לתוקף תקנות הגנת הפרטיות האירופאיות, ה – GDPR.

הקנס השני בגובהו בשל הפרות ה-GDPR

מדובר בקנס הגבוה ביותר שהוטל מכוח ה-GDPR בגין הפרת פרטיות של עובדים ובקנס השני בגובהו שהוטל מכוח ה-GDPR בכלל, לאחר הקנס בגובה 50 מיליון אירו שהוטל על Google על ידי רשות הגנת הפרטיות הצרפתית אשתקד.

החלטת רשות הגנת הפרטיות הגרמנית מעבירה מסר מאוד ברור לחברות שמעסיקות עובדים. הן אינן יכולות לאסוף כל מידע שהן רוצות על עובדיהן ולעשות בו כל שימוש שהן חפצות בו.

בעוד שהכניסה לתוקף של ה – GDPR – הובילה חברות בכל העולם להקפיד על שמירה על פרטיות של לקוחותיהן, חלק גדול מהן נוהגות להזניח את הפרטיות של העובדים שלהן מתוך תפיסה כי העובדים לא יעמדו על זכויותיהם על מנת לא לאבד את מקום העבודה שלהם. עצם העובדה שהקנס השני בגובהו שהוטל מכוח ה – GDPR עד כה הוטל בגין הפרת פרטיות של עובדים עשויה לשנות את המגמה הזאת ולהוות קריאת אזהרה עבור כל חברה שמעסיקה עובדים באירופה ובעולם כולו.