有欧盟员工吗?谨防:H&M以大规模的GDPR罚款良好的员工数据,尽管合作

2020年10月1日,汉堡的数据保护机构(“DPA.“)宣布,它对服装公司H&M Hennes&Mauritz Online Shop的大规模欧元兑欧元罚款。&Co.KG(“H&M.“)对于涉嫌与私生活有关的几百名员工的涉嫌不法收集数据(可以访问英文新闻稿)这里)。这是德国发布的最高罚款,向公司发送强大的信号,以确保他们在处理员工数据时遵守数据保护法。

背景

H&M位于汉堡,在纽伦堡提供服务中心。至少自2014年以来,服务中心管理层收集了员工私人生活的数据。

假期和病人离开后,监督团队领导人将与员工进行“欢迎返回谈话”,之后团队领导人会注意到员工的具体度假经验,以及生病的叶子,疾病症状和诊断。一些团队领导者甚至在随意谈判期间收集数据,包括有关私人家庭问题和宗教信仰的信息 - 有时高度详细,并将这些信息随着时间的推移而保持更新。

这些数据在其他地方存储在网络驱动器上,该驱动器可通过高达50个H&M管理员访问。

除了详细的工作绩效分析外,私人数据还包括用于创建员工的个人资料并与员工进行决策。

由于2019年的配置错误,此数据收集和使用实践将导致私有数据的公司范围可访问几个小时。

通过新闻界意识到这种做法,DPA首先发出“冻结命令”以保留网络驱动器的内容,然后要求提供信息。H&M与DPA合作并提供数据(约60 GB)。

在此泄漏之后,H&M投入其数据保护合规性,并为纽伦堡服务中心实施了全面的数据保护计划,包括约会新的数据保护协调员,每月隐私状态更新和强大的举报人保护程序。新计划呈现给DPA。H&M不仅向员工道歉,也不符合其不法行为,也同意赔偿受影响的员工。

数据保护机构的推理

DPA强调,收集有关员工私人生活的详细信息以及正在进行的记录的结合导致对雇员的权利产生重大影响。

DPA承认,处理这种情况(道歉和赔偿)是在数据保护违约之后对公司责任的前所未有的承诺,并且H&M负责任地透明地提供所有必要的信息。

尽管有H&M的道歉和赔偿,DPA的专员得出结论,由于侵权的严重性,所施加的罚款是合适的。DPA确定了禁止其他公司违反雇员隐私所必需的罚款。

分析

由于多种原因,DPA的这一决定和伴随的新闻稿是显着的:

  • 尽管公司的全部合作,但德国最高罚款施加了最高罚款;
  • H&M正在考虑的合作,因为罚款是在衡量标准的较低结束时考虑到H&M的大幅营业额;
  • 新闻稿明确提及受影响的公司;和
  • 新闻稿指出,颁发冻结数据的禁令。

该决定符合德国杜塞尔多夫的劳动法院的值得注意的决定,该雇主命令雇主向前雇员赔偿金额5,000欧元,以延迟,不足以获得他的数据赔偿金(第4号决定.9 CA 6557/ 18)。它表明,数据保护当局和法院认真对待员工数据,也可能被认为由于雇主与员工在典型的就业关系中的权力不平衡而征收更高的罚款/赔偿。

可以说,H&M没有完全合作,H&M的精致显着更高。根据德国DPA于2019年10月介绍的精细计算模式,DPA发布的罚款是在较低的规模的下端,考虑到在前财政年度的全球全球营业额(219亿欧元)。根据细分计算模式,H&M的年营业额可能导致罚款高达6100万欧元。因此,DPA几乎减半,这表明“与监督机构的合作程度”(第83(2)(F)GDPR)重要程度。

Expressly naming the fined company is rather unusual in Germany but may be explained by the fact that H&M’s practice had been broadly recognized and discussed in the press when it came to light so that, due to the circumstances, it would have been clear that H&M was the subject of the fine. It could thus well be that the DPA decided to expressly mention H&M as a well-known company to increase the dissuasive effect to other companies.

最后,在DPA通过媒体意识到这种做法后,似乎就会发出保留数据的禁令,这似乎值得注意的是DPA尚未有任何不法行为证明,但仅仅在纪念新闻新闻。它提出了必须提出疑似程度的问题,以便证明这种禁令。

看到H&M是否呼吁罚款是有趣的。

外带

  • 公司应投资于员工隐私合规计划,以彻底调查其实际数据处理活动(数据映射)。
  • 公司应在培训劳动力的培训方面,特别是他们的人力资源队伍培训,特别是在隐私合规。
  • 从私人对话获取的信息不应用于与工作相关的目的。
  • 员工数据的处理应限于法律规定的真正必要和合理的。
  • 访问HR数据应根据需要的基础限制。除非有特定的,合法的需求,否则不允许授予管理者一般访问敏感的人力资源数据。
  • 合作行为可以显着降低罚款,但是防止罚款可能不足以。