Společnost Amazon France spravuje sklady Amazonu ve Francii. Každý zaměstnanec skladu používá skener, s jehož pomocí dokumentuje provádění určitých úkolů. Výsledkem skenování je zaznamenání informací umožňujících sledovat kvalitu, produktivitu a dobu nečinnosti jednotlivých zaměstnanců.
Ve Francii, podobně jako v Česku, je monitorování zaměstnanců regulováno vedle GDPR také zákoníkem práce. Pravidla pro monitorování jsou přitom v obou zemích velmi podobná. Stručně řečeno, sledování zaměstnanců je možné, pokud je opodstatněné z hlediska povahy činnosti a přiměřené z hlediska stanovených legitimních účelů. Nutnost posouzení oprávněnosti a přiměřenosti zpracování se pak dá dovodit i z GDPR.
V těchto mezích tedy francouzský dozorový úřad (CNIL) posuzoval i sledování zaměstnanců Amazonu ve francouzských skladech.
V čem Amazon porušil GDPR?
Francouzský dozorový úřad (CNIL) zkoumal zpracování informací týkajících se činnosti pracovníků za účelem řízení skladových zásob a objednávek, za účelem školení, plánování a organizace práce a pro hodnocení výkonnosti pracovníků. Údaje o činnosti zaměstnanců byly shromažďovány v reálném čase a uchovávány po dobu 31 dnů.
CNIL ve vztahu k monitorování kvality práce a výkonnosti pracovníků dospěl ke dvěma hlavním závěrům:
-
Indikátory týkající se rychlosti manipulace se zbožím („stow machine gun“ indikátor), doby nečinnosti a doby prodlení jsou celkově nepřípustné.
-
Využití ostatních indikátorů kvality a produktivity je oprávněným zájmem, nicméně není možné je uchovávat po nepřiměřenou dobu 31 dní.
Konkrétní zjištění CNIL jsou pak následující:
-
Pokud jde o přesné monitorování zaměstnanců v reálném čase, CNIL shledal jako nezákonné následující tři ukazatele:
-
„Stow Machine Gun“ – indikátor rychlosti manipulace se zbožím: Pokud zaměstnanci skenují položku příliš rychle, naznačuje tento indikátor potenciální chybu. CNIL ho považuje za nepřiměřený a neopodstatněný ve srovnání s právem pracovníků na ochranu soukromí. Nutno dodat, že Amazon v návaznosti na šetření CNIL s používáním těchto indikátorů přestal.
-
Doba nečinnosti: Signalizuje přerušení v délce 10 minut a více. CNIL považuje tento indikátor za nepřiměřený a neopodstatněný. Za dostačující považuje jiné, např. indikátory chyb a produktivity nebo agregované týdenní ukazatele.
-
Délka prodlevy: Upozorňuje na prodlevy související s příchodem a odchodem, tedy se začátkem a koncem směn nebo přestávek. Podobně jako výše, i zde se CNIL domnívá, že daný indikátor je nepřiměřený a neopodstatněný.
Podle CNIL tak tyto tři metody monitorování zaměstnanců nemohou být založeny na oprávněném zájmu a postrádají zákonný základ. Jsou totiž nadměrně invazivní a zaměstnanci kvůli nim musejí zdůvodňovat i velmi krátká přerušení skenování.
Další porušení GDPR při monitoringu zaměstnanců
V dalším bodě CNIL shledal jako nezákonné uchování neagregovaných indikátorů kvality práce a produktivity za účelem organizace práce a školení pracovníků po dobu 31 dní. Danou dobu CNIL nepovažoval za opodstatněnou. Ve vztahu k hodnocení zaměstnanců se CNIL domnívá, že detailní indikátory nejsou přiměřené a opodstatněné a že k takovému hodnocení stačí agregované týdenní statistiky.
V návaznosti na šetření CNIL se Amazon rozhodl detailní přehled indikátorů omezit na 7 dní a následně indikátory agregovat do týdenních statistik.
K dalším pochybením, která francouzský dozorový úřad zjistil, patří:
-
Nedostatečné informace pro agenturní zaměstnance a brigádníky. Ti nedostávali žádný informační dokument určený přímo pro ně, ale byli pouze odkázáni na intranet společnosti.
-
Nedostatečné informace o kamerovém sledování.
-
Nedostatečné zabezpečení kamerových záznamů (sdílení účtů, slabá hesla).
Důvody pro uložení pokuty
CNIL v souvislosti se zkoumáním oprávněných zájmů zahrnul do svého rozhodnutí řadu dílčích balančních testů týkajících se použití jednotlivých indikátorů. Zatímco na jedné straně CNIL poměrně detailně zkoumal zájmy správce (Amazonu), konkrétní zájmy pracovníků (respektive dopady daného zpracování na tyto zájmy, např. typ a intenzitu zásahu do soukromí) tak podrobně zdaleka nerozebral ani je nijak se zájmy Amazonu neporovnal. Vystačil si s obecnými zmínkami o soukromí a pracovních podmínkách.
Zhodnocení oprávněných zájmů ze strany CNIL proto vyznívá poněkud rozpačitě a neúplně. Tím spíše, že vedlo k uložení tak obrovské pokuty.
CNIL s ohledem na všechna výše uvedená porušení uložil společnosti Amazon France pokutu ve výši 32 milionů EUR. Zajímavější je nicméně fakt, že podle CNIL jde o 3 % tržeb Amazon France. Pokuta je tak už blízko maximální hranici 4 % tržeb podle GDPR. Uvedená pochybení však nezahrnovala např. osobní údaje zvláštní kategorie, netýkala se nepřiměřeného profilování zaměstnanců ani automatizovaného rozhodování o jejich propouštění apod. Vzhledem k tomu se tedy taková pokuta jeví jako extrémně vysoká a ne zcela podložená.
O GDPR.cz
Portál GDPR.cz informuje a vzdělává v oblasti ochrany osobních údajů, kybernetické bezpečnosti, compliance a souvisejících tématech.
V digitálním světě je zásadní efektivně uplatňovat pravidla pro ochranu soukromí jednotlivců a kybernetickou bezpečnost. Na platformě GDPR.cz naleznete články pokrývající různé aspekty GDPR a přesahy do dalších oblastí práva, technologie či marketingu.
Provozovatelem gdpr.cz je TAYLLORCOX s.r.o., specialista na mezinárodně oznávané metodiky a certifikace, dodavatel špičkového vzdělávání v tomto odvětví a poskytovatel profesionálních auditorských služeb.