Amazon оштрафован на 32 миллиона евро за мониторинг сотрудников
Французская Национальная комиссия по информации и гражданским свободам оштрафовало AMAZON FRANCE LOGISTIQUE на 32 миллиона евро за установку чрезмерно навязчивой системы мониторинга активности и производительности сотрудников.
27 декабря 2023 года французская Национальная комиссия по информации и гражданским свободам (La Commission Nationale de Plnformatique et des Libertes, CNIL) оштрафовало Амазон Франс Логистик (AMAZON FRANCE LOGISTIQUE) на 32 миллиона евро за установку чрезмерно навязчивой системы мониторинга активности и производительности сотрудников. Компания также была оштрафована за ведение видеонаблюдения без должного информирования сотрудников и обеспечения достаточной защиты системы мониторига.
AMAZON FRANCE LOGISTIQUE управляет крупными складами AMAZON group во Франции, где принимает и хранит товары, а затем готовит посылки для доставки клиентам. В рамках своей деятельности каждый сотрудник склада получает сканер для документирования выполнения определенных возложенных на него задач в режиме реального времени (хранение или снятие товара с полок, выкладывание или упаковка и т.д.).
Каждое сканирование, выполняемое сотрудниками, приводит к записи данных, которые сохраняются и используются для расчета показателей, дающих информацию о качестве, производительности и периодах бездействия каждого сотрудника.
Почему CNIL посчитал, что система мониторинга активности и результативности сотрудников была чрезмерной? Три причины (их больше):
1. Незаконные индикаторы для повышения продуктивности сотрудников.
Были установлены индикаторы, отслеживающие время простоя сканеров сотрудников. CNIL постановил, что создание системы измерения перерывов в работе с такой точностью незаконно, что потенциально требует от сотрудников обосновывать каждый перерыв. CNIL постановил, что система измерения скорости сканирования товаров была чрезмерной. Исходя из принципа, что очень быстрое сканирование товаров увеличивает риск ошибки, индикатор измерял, был ли товар отсканирован менее чем через 1,25 секунды после предыдущего.
Были установлены индикаторы, отслеживающие время простоя сканеров сотрудников. CNIL постановил, что создание системы измерения перерывов в работе с такой точностью незаконно, что потенциально требует от сотрудников обосновывать каждый перерыв. CNIL постановил, что система измерения скорости сканирования товаров была чрезмерной. Исходя из принципа, что очень быстрое сканирование товаров увеличивает риск ошибки, индикатор измерял, был ли товар отсканирован менее чем через 1,25 секунды после предыдущего.
2. Неразумно долгий срок хранения. CNIL сочла чрезмерным хранить все данные, собранные системой, а также итоговые статистические показатели по всем сотрудникам и временным работникам в течение 31 дня. CNIL не подвергал сомнению тот факт, что очень жесткие ограничения, влияющие на бизнес Amazon, и высокие целевые показатели производительности, которые поставила перед собой компания, могут оправдать внедрение системы сканирования для управления ее бизнесом. Однако она сочла, что сохранение всех этих данных и результирующих статистических показателей в целом было непропорциональным.
3. Низкий уровень безопасности. Комитет по ограничениям отметил, что доступ к программному обеспечению для видеонаблюдения был недостаточно безопасным, поскольку пароль доступа был недостаточно надежным, а учетная запись доступа была общей для нескольких пользователей. Такое накопление дефектов безопасности затрудняет отслеживание доступа к видеоизображениям и идентификацию каждого человека, который выполнял действия с программным обеспечением.
В результате CNIL как уполномоченный орган наложил на AMAZON FRANCE LOGISTIQUE штраф в размере 32 миллионов евро.
Таким образом, AMAZON FRANCE LOGISTIQUE совершил несколько нарушений Общего регламента по защите данных (GDPR):
• несоблюдение принципа минимизации данных (статья 5.1.c GDPR);
• неспособность обеспечить законную обработку данных (статья 6 GDPR);
• несоблюдение принципа минимизации данных (статья 5.1.c GDPR);
• несоблюдение обязательства по предоставлению информации и прозрачности (статьи 12 и 13 GDPR);
• несоблюдение обязательства по обеспечению безопасности персональных данных (статья 32 GDPR).
• неспособность обеспечить законную обработку данных (статья 6 GDPR);
• несоблюдение принципа минимизации данных (статья 5.1.c GDPR);
• несоблюдение обязательства по предоставлению информации и прозрачности (статьи 12 и 13 GDPR);
• несоблюдение обязательства по обеспечению безопасности персональных данных (статья 32 GDPR).
Российское законодательство также предусматривает административную ответственность за незаконный сбор данных. Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных" предписывает, что обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки (ст. 5). Оператор обязан применять меры по обеспечению безопасности персональных данных при их обработке (ст. 19). Обрабатывать персональных данных можно только при определенных условиях и одно из них - согласие субъекта персональных данных, то есть самого человека (ст. 5).
Получается, Роскомнадзор мог бы привлечь AMAZON FRANCE LOGISTIQUE за обнаруженные нарушения.
Решение CNIL и его разъяснение можно найти в материале от CNIL (англ. язык): https://www.cnil.fr/en/employee-monitoring-cnil-fined-amazon-france-logistique-eu32-million
Материал подготовлен пресс-службой Адвокатского бюро GK legal defenders .
#персональныеданные #судебнаяпрактика #штрафы