Rekordnagyságú, 35.258.707 euróra rúgó összegre bírságolta a Hennes & Mauritz (H&M) svéd ruhaipari céget a hamburgi adatvédelmi hatóság, miután kiderült, hogy a cég egyik ügyfélszolgálati központjában jogosulatlanul személyes adatokat gyűjtöttek és tároltak az alkalmazottakról.
Az adatvédelmi visszaélések 2014-ben kezdődtek, egyrészt a hamburgi központ menedzsmentje különböző felmérések és kérdőívek segítségével információkat gyűjtött a munkavállalók magánéletéről. Adatokat gyűjtöttek például arról, hogy nyaraltak, vagy milyen tünetei voltak egyes betegségeiknek, illetve milyen orvosi értékeléseket kaptak a betegségek kapcsán.
Másrészt egyes vezetők magánbeszélgetések során tudakoltak meg személyes infókat, például családi problémákról vagy épp vallásos meggyőződésekről. Ezeket az információkat szintén tárolták.
Az így létrehozott adatbázisban szereplő érzékeny információkat a cégen belül olykor 50 menedzser is olvashatta, és a vezetés azokat felhasználta „munkaviszonyt érintő intézkedések és döntések” meghozatalánál.
A hamburgi adatvédelmi biztos, Johannes Caspar azután indított vizsgálatot, miután egy technikai hiba miatt az adatbázis tavaly októberben pár órára minden dolgozó számára elérhetővé vált, az egyik alkalmazott pedig gyorsan értesítette is a sajtót.
A H&M bocsánatot kért alkalmazottaitól és ígéretet tett kártérítések fizetésére is.
A mostani rekordnagyságú bírságot a 2016-ban hatályba lépett közös európai uniós adatvédelmi irányelv, a GDPR tette lehetővé. A GDPR alapkoncepciója, hogy senkiről nem gyűjthető és tárolható olyan szenzitív személyes adat, amelynek begyűjtéséhez és tárolásához az érintett személy aktívan hozzá nem járult.
A múltban egyébként a német adatvédelmi hatóságok már szabtak ki a GDPR alapján 14,5 millió eurós bírságot az egyik nagy bérlakás-tulajdonos vállalkozás és egy számítástechnikai cég ellen is.
A viszonylag szigorú adatvédelmi szabályozása miatt az Európai Unió nemrégiben a nagy techóriásokkal is konfliktusba került, miután júliusban az EU Bírósága hatályon kívül helyezte az EU és az USA között korábban hozott adatvédelmi megállapodást, mivel az Egyesült Államok nem biztosított elegendő védelmet az európai polgároknak személyes adataik kezelésekor. Ennek nyomán nemrégiben az ír adatvédelmi hatóság megtiltotta a Facebook számára, hogy az USA-ba exportálja európai felhasználóinak adatait. Válaszként a közösségi médiaóriás belengette, hogy akár ki is vonulna az egész EU területéről – amely fenyegetést egyébként igen kevesen vettek komolyan, hiszen üzletileg nem érné még a cégnek, hogy második legnagyobb piacáról kivonuljon.
A techóriások és nagyobb cégek az elmúlt évtizedekben olyan megfigyelési, adatgyűjtési technológiákra tettek szert, amelyek hatására mára a személyes adatok védelme vált az egyik legfontosabb politikai küzdelemmé. A Facebook, Google és hasonló cégek gyakorlatilag személyes adatainkat kibányászható nyersanyagokká változtatták, amelyeket aztán piaci szereplőknek értékesíthetnek figyelemre méltó profitért. Ez az ún. megfigyelési kapitalizmus, amelynek mérsékléséért folyamatos nyomást kell gyakorolni a politikai döntéshozókra.
