Pokutu jeden milion eur zaplatí francouzská pobočka IKEA za nezákonné sledování zaměstnanců. Případ se dostal k soudu a generální ředitel firmy dokonce obdržel dvouletou podmínku trestu odnětí svobody.
V rámci dřívějšího článku ve Zpravodaji, který se týkal vymáhání GDPR, jsme vás informovali o evropských rekordmanech, co se výše pokuty týče. Jistě si vzpomenete, že na druhém místě se umístilo Německo, které udělilo pokutu společnosti H&M ve výši 35,26 milionů eur. Důvodem bylo nezákonné zpracování osobních údajů a sledování zaměstnanců. Podobné počínání se nevyplatilo ani francouzské pobočce IKEA, která obdržela pokutu jeden milion eur. Celý případ skončil v trestněprávní rovině.
ÚOOÚ stačí pro zahájení kontroly 1 stížnost zaměstnance
Případ z Německa
Pokud byste byli zaměstnancem H&M v Norimbergu po roce 2014 a vrátili se z dovolené nebo z nemocenské, pravděpodobně by s vámi nadřízený vedl „uvítací“ rozhovor, v jehož rámci by se ptal na zážitky z výletu či příznaky a diagnózy nemocí. Pro vás by možná ukončením tohoto rozhovoru celá věc skončila, avšak pouze zdánlivě.
Představte si, že informace, které jste svému nadřízenému familiárně sdělili, by pak i spolu s dalšími informacemi soukromého charakteru byly digitalizovány a uloženy do databáze, jež by byla dostupná až padesáti dalším manažerům celé společnosti. Ti by pak měli přístup k informacím o vašem životě, včetně detailů o rodinných problémech či náboženském přesvědčení.
Pokud by v roce 2019 nenastala chyba v konfiguraci systému, kdy tyto informace byly najednou veřejně přístupné všem zaměstnancům společnosti, pravděpodobně byste nevěděli ani o tom, že je váš zaměstnavatel měl po celou dobu k dispozici a že sloužily pro jeho rozhodování o vašem dalším směřování ve společnosti. Troufáme si odhadnout, že by se vám to pravděpodobně nelíbilo. A to po právu, protože ačkoliv se společnost několikrát omluvila a dotčeným zaměstnancům vyplatila odškodné, velmi vysoké sankci se jí evidentně vyhnout nepodařilo.
Co se stalo ve Francii
Mnohem tvrdší dohru však mělo počínání francouzské pobočky nábytkářského gigantu IKEA, respektive společnosti Ingka Group, která je hlavním franšízantem vlastníka značky Inter IKEA Group. Kauza byla odhalena v roce 2012 a aktuálně má dohru v trestněprávní rovině.
Důvodem bylo neoprávněné sledování zaměstnanců a zákazníků, a to například tak, že si vedení prohlíželo záznamy o jejich bankovních účtech nebo v rámci takzvaného mystery shoppingu sepisovalo zprávy o zaměstnancích. Přístup měli však mít i k takovým informacím, jako například kdo řídí jaké auto, nebo k policejním spisům, za které měli dokonce platit.
Předmětné počínání mělo probíhat od roku 2000, přičemž obvinění se týkala konkrétně let 2009 až 2012. Obviněno bylo na 15 osob, z nichž pouze některým se podařilo částečně zprostit obvinění a dvě osoby byly shledány nevinnými v celém rozsahu. Mezi obviněnými byli i čtyři policisté, kteří se měli podílet na vynášení důvěrných informací z policejních spisů.
IKEA prohlížela záznamy o bankovních účtech zaměstnanců
Pokud byste se například ucházeli o práci v IKEA ve Francii, je dost možné, že tehdejší obchodní manažer by se zeptal svého bratrance, mimo jiné policisty, aby na vás „hodil očko“ (viz informace z článku BBC). Pokud jste se tak v minulosti dopustili nějakého přestupku, stali byste se dalším z údajných 8 kandidátů ze 117, kteří byli na základě takových informací vyřazeni z výběrového řízení. Dle informací ze soudního spisu se účet společnosti za soukromé vyšetřovatele vyšplhal až na 600 000 eur.
To vše je však samozřejmě hrubě v rozporu s pravidly na ochranu osobních údajů, ale i ochranu soukromí zaměstnanců na pracovišti. Nelze se divit poněkud tvrdšímu trestu (v té době nebylo účinné GDPR) jak samotné společnosti, tak i jednotlivým aktérům. Nejtvrdší trest si odnesl generální ředitel firmy ve Francii Jean-Louis Baiilot, který od soudu kromě pokuty 50 000 eur dostal i dvouletou podmínku trestu odnětí svobody.
Co z případu plyne
Ačkoliv se zaměstnanecké agendě ze stran správců historicky nevěnovala přílišná pozornost, zejména s ohledem na domnělé dobré vztahy na pracovišti („Se zaměstnancem si týkám, je u nás spokojený, tak proč bych řešil GDPR a nějaké udání, když kontrol je málo?“), pravdou je, že i ÚOOÚ pro zahájení kontroly stačí byť jediná stížnost zaměstnance (viz článek týkající se kontrol na pracovišti). Samotné soukromí zaměstnance není chráněno jen ze strany GDPR, ale také obecnými předpisy, jako je zákoník práce a potažmo i občanský zákoník. Problém tak může nastat i v případě, kdy u vás kontrolu provede inspekce práce. Není tedy radno k zaměstnancům přistupovat spatra a nevěnovat jejich právům na soukromí pozornost, již si zaslouží.
Článek byl publikován v Elektronickém zpravodaji pro pověřence