U ovom članku analiziramo interesantan slučaj u vezi sa zaštitom podataka o ličnosti iz nemačke prakse, Hamburškog Poverenika za zaštitu podataka i slobodu informacija („Poverenik“), od značaja za tumačenje i primenu odredaba člana 5. i 6. Opšte uredba EU o zaštiti podataka o ličnosti, od 14. aprila 2016. godine, koja je stupila na snagu 25. maja 2018. godine (General Data Protection Regulation – “GDPR”).

U pitanju je Odluka Poverenika od dana 01.10.2020. godine (“Odluka”), kojom je utvrđena povreda prava na zaštitu podataka o ličnosti, od strane H&M Hennes & Mauritz Online Shop A.B. & Co. KG (sedište u Hamburgu), globalno poznate kompanije, maloprodajnog lanca, koja prodaje odeću, obuću i modne dodatke („Kompanija”).

Relevantne odredbe GDPR

Odredbe člana 5. GDPR regulišu principe u vezi sa obradom ličnih podataka. Lični podaci moraju biti:

• obrađeni zakonito, pošteno i na transparentan način u odnosu na lica čiji se podaci obrađuju (načelo zakonitosti, poštenja i transparentnosti);
• prikupljeni za specifične, jasne i zakonite svrhe i ne smeju se dalje obrađivati na način koji nije u skladu sa tim svrhama; dalja obrada u svrhu arhiviranja u javnom interesu, za naučna ili istorijska istraživanja ili statističke svrhe neće se smatrati neskladanom sa prvobitnim svrhama, u skladu sa članom 89(1) GDPR (načelo ograničenja svrhe);
• odgovarajući, relevantni i ograničeni na ono što je neophodno u odnosu na svrhe za koje se obrađuju (načelo minimizacije podataka);
• tačni i, kada je to neophodno, ažurirani; moraju se preduzeti svi razumni koraci kako bi se obezbedilo da se lični podaci koji su netačni, s obzirom na svrhe za koje se obrađuju, bez odlaganja obrišu ili isprave (načelo tačnosti);
• čuvani u obliku koji omogućava identifikaciju lica čiji se podaci obrađuju ne duže nego što je neophodno za svrhe za koje se lični podaci obrađuju; lični podaci se mogu čuvati duže, ako se obrađuju isključivo u svrhu arhiviranja u javnom interesu, za naučna ili istorijska istraživanja ili statističke svrhe, u skladu sa članom 89(1) GDPR, pod uslovom da se primene odgovarajuće tehničke i organizacione mere koje je GDPR propisao kako bi se zaštitila prava i slobode lica čiji se podaci obrađuju (načelo ograničenja čuvanja);
• obrađeni na način koji obezbeđuje odgovarajuću sigurnost ličnih podataka, uključujući zaštitu od neovlašćene ili nezakonite obrade i od slučajnog gubitka, uništavanja ili oštećenja, uz primenu odgovarajućih tehničkih ili organizacionih mera (načelo integriteta i poverljivosti).

Rukovalac je odgovoran za, i mora biti u mogućnosti da pokaže usklađenost sa, stavom 1. ovog člana (načelo odgovornosti).

Odredbe člana 6. GDPR regulišu zakonitost obrade. Obrada ličnih podataka je zakonita samo ako i u meri u kojoj se primenjuje barem jedno od sledećeg:

1. Pristanak lica čiji se podaci obrađuju: Lice je dalo pristanak za obradu svojih ličnih podataka u jednoj ili više specifičnih svrha;
2. Obrada je neophodna za izvršenje ugovora: Obrada je neophodna za izvršenje ugovora u kom je lice čiji se podaci obrađuju strana ili da bi se preduzele radnje na zahtev lica čiji se podaci obrađuju pre nego što se sklopi ugovor;
3. Obrada je neophodna za usklađivanje sa zakonskom obavezom: Obrada je neophodna za ispunjenje zakonske obaveze kojoj je rukovalac podložan;
4. Obrada je neophodna da bi se zaštitili vitalni interesi lica čiji se podaci obrađuju ili druge fizičke osobe;
5. Obrada je neophodna za obavljanje zadatka u javnom interesu ili u okviru izvršavanja službene ovlasti: Obrada je neophodna za obavljanje zadatka koji se sprovodi u javnom interesu ili u okviru službene ovlasti koja je poverena rukovaocu;
6. Obrada je neophodna za legitimne interese rukovaoca ili treće strane: Obrada je neophodna za ostvarivanje legitimnih interesa rukovaoca ili treće strane, osim ako su ti interesi preteženi interesima ili osnovnim pravima i slobodama lica čiji se podaci obrađuju koji zahtevaju zaštitu ličnih podataka, posebno u slučaju kada je to lice dete.

Kada se obrada vrši u druge svrhe osim onih za koje su lični podaci prikupljeni, a nije zasnovana na pristanku lica čiji se podaci obrađuju ili na zakonu Unije ili države članice koji predstavlja neophodnu i proporcionalnu meru u demokratskom društvu kako bi se sačuvali ciljevi iz člana 23(1), rukovalac mora, kako bi utvrdio da li je obrada za drugu svrhu kompatibilna sa svrhom za koju su lični podaci prvobitno prikupljeni, uzeti u obzir, između ostalog:

– bilo kakvu povezanost između svrha za koje su lični podaci prikupljeni i svrha nameravane dalje obrade;
– kontekst u kojem su lični podaci prikupljeni, posebno u vezi sa odnosom između lica čiji se podaci obrađuju i rukovaoca;
– prirodu ličnih podataka, naročito da li se obrađuju posebne kategorije ličnih podataka, u skladu sa članom 9, ili lični podaci koji se odnose na krivične presude i prekršaje, u skladu sa članom 10;
– moguće posledice nameravane dalje obrade za lice čiji se podaci obrađuju;
– postojanje odgovarajućih zaštita, koje mogu uključivati enkripciju ili pseudonimizaciju.

Dakle, samo obrada izvršena u skladu sa navedenim principima i pravilima GDPR-a, jeste zakonita i pravilna.

Okolnosti konkretnog slučaja

Od 2014. godine u Kompaniji su u primeni tzv. “Dobrodošli nazad razgovori” koji podrazumevaju razgovore menadžera sa zaposlenima po njihovom povratku sa privremene sprečenosti za rad (bolovanja) ili korišćenja godišnjeg odmora.

Predmet ovih razgovora su konkretna iskustva zaposlenih tokom odmora i bolovanja, ali i simptomi bolesti i dijagnoze.

Takođe, prilikom ovih razgovora pojedini menadžeri su stekli široko znanje o privatnom životu svojih zaposlenih, od prilično bezopasnih detalja do porodičnih problema i verskih uverenja.

Ovi razgovori opsežno su beleženi i čuvani na mrežnom disku. Beleške su ponekad bile veoma detaljne i ažurirane tokom vremena, a ponekad su bile dostupne velikom broju menadžera u Kompaniji.

Ovi podaci, prikupljeni na navedeni način, uz evaluaciju pojedinačnog radnog učinka zaposlenih, korišćeni su postupcima odlučivanja o radnopravnom statusu zaposlenih.

Navedeno je postalo poznato kada su, usled greške u konfiguraciji, predmetne beleške postale dostupne svima u Kompaniji na nekoliko sati u oktobru 2019. godine.

Poverenik je obavešten o predmetnoj obradi podataka putem novinskih izveštaja, te je naložio da sadržaj mrežnog diska bude potpuno „zamrznut“, a zatim zahtevao da mu se isti dostavi.

Kompanija je postupila po nalogu Poverenika i dostavila set podataka veličine oko 60 gigabajta na analizu.
Ispitivanja brojnih svedoka potvrdila su dokumentovane prakse nakon analize podataka.

Ishod

Odlukom Poverenika utvrđena je povreda ličnih podataka zaposlenih, budući da isti nisu obrađivani u skladu sa principima i odrebama članova 5. i 6. GDPR.

Kompanija je sankcionisana novčanom kaznom u iznosu od 35.258.708,00 EUR zbog obrade podataka koji se odnose na privatni život zaposlenih i omogućavanja pristupa istima od strane 50 menadžera, te donošenja odluka o radnopravnom statusu zaposlenih, na osnovu ovih podataka.

Kompanija je bila obavezana da uputi zaposlenima izvinjenje, isplati odštetu i uvede korektivne mere poput imenovanja novog koordinatora za zaštitu podataka, dostavljanja mesečnih izveštaja o statusu zaštite podataka i drugo.

Ova Odluka posebno naglašava potrebu da poslodavci, kao rukovaoci podacima, kontinuirano preispituju interne procese, kao i da osiguraju da se podaci o ličnom životu zaposlenih obrađuju izuzetno, odnosno samo onda kada je to apsolutno neophodno i ujedno opravdano zakonitom svrhom. Drugim rečima, svrha i pravni osnov takve obrade moraju postojati, biti jasni i transparento komunicirani zaposlenima. Svako suprotno postupanje predstavljaće nezakonitu obradu podataka, kako u EU tako i u Srbiji.

Ovaj članak je isključivo informativne prirode i ne predstavlja pravni savet. Ukoliko su Vam potrebne dodatne informacije, budite slobodni da nas kontaktirate.