Zarejestruj się i uzyskaj dostęp do licznych narzędzi

CNIL nakłada na AMAZON FRANCE LOGISTIQUE grzywnę w wysokości 32 mln euro

24/01/2024

Francuski organ ochrony danych osobowych nałożył na AMAZON FRANCE LOGISTIQUE karę za stworzenie nadmiernie inwazyjnego systemu monitorowania aktywności i wydajności pracowników oraz naruszenie obowiązków informacyjnych i zabezpieczenia danych osobowych


CNIL nakłada na AMAZON FRANCE LOGISTIQUE grzywnę w wysokości 32 mln euro

CNIL nakłada na AMAZON FRANCE LOGISTIQUE grzywnę w wysokości 32 mln euro

W wyniku kontroli przeprowadzonych przez CNIL w zakresie praktyk Amazon France Logistique w zarządzaniu magazynami we Francji, organ ten uznał system monitorowania pracowników za nadmierny, krytykując szczególnie wskaźniki mierzące czas bezczynności skanerów oraz szybkość ich użycia.

Nieprzestrzeganie zgodności przetwarzania z prawem, art. 6 RODO

CNIL orzekł, że niezgodne z prawem jest stworzenie systemu, który tak dokładnie mierzy przerwy w działalności i prowadzi do tego, że pracownik potencjalnie musi uzasadniać każdą przerwę.

CNIL  uważa,że trzy wskaźniki, których używa firma, są niezgodne z prawem:

  • wskaźnik "Stow Machine Gun", który wskazuje na błąd, gdy pracownik skanuje przedmiot "zbyt szybko" (tj. w czasie krótszym niż 1,25 sekundy po zeskanowaniu poprzedniego przedmiotu);
  • wskaźnik "czasu bezczynności", który wskazuje okresy przerwy w działaniu skanera trwające dziesięć minut lub dłużej.
  • Wskaźnik "Mniej niż dziesięć minut", który wskazuje okresy przestoju skanera od jednej do dziesięciu minut.

Nie kwestionując potrzeby dokładnego monitorowania organ  podkreślił jednak, że przetwarzanie tych trzech wskaźników nie może opierać się na uzasadnionym interesie, ponieważ prowadzi do nadmiernego nadzoru nad pracownikiem w odniesieniu do celu realizowanego przez firmę.

W związku z tym zdaniem organu przetwarzanie to należy uznać za nadmiernie inwazyjne.

 

W przedmiocie naruszenia zasady minimalizacji danych tj. art. 5 ust. 1 lit. c RODO

Francuski organ ochrony danych uznał za przesadne przechowywanie wszystkich danych zgromadzonych przez system w odniesieniu do wszystkich pracowników i pracowników tymczasowych, poprzez przechowywanie ich przez 31 dni. Zdaniem organu udzielanie pomocy pracownikowi lub jego przeniesienie w czasie rzeczywistym nie wymaga dostępu do najdrobniejszych szczegółów dotyczących wskaźników jakości i produktywności pracownika, które zostały zebrane za pomocą skanerów w ciągu ostatniego miesiąca. Zauważa, że przełożeni mogą już polegać na danych w czasie rzeczywistym, aby zidentyfikować wszelkie trudności jeżeli pracownik może potrzebować coachingu lub zidentyfikować pracowników, którzy mają zostać przydzieleni do zadania w przypadku szczytu aktywności. W związku z tym CNIL uważa, że oprócz danych przekazywanych w czasie rzeczywistym wystarczający byłby wybór danych zagregowanych, na przykład tygodniowych.

 

Niedopełnienie obowiązku informacyjnego i przejrzystości, art. 12 i 13 RODO

Panel zastrzeżony stwierdził, że do kwietnia 2020 r. pracownicy tymczasowi pracujący dla firmy nie byli odpowiednio informowani, ponieważ firma nie zapewniła, że polityka prywatności została im przekazana przed zebraniem ich danych osobowych za pomocą skanerów. Ponadto zauważył, że pracownicy i goście z zewnątrz nie byli odpowiednio informowani o systemach nadzoru wideo, ponieważ niektóre informacje wymagane przez art. 13 RODO nie były podawane na billboardach ani w innych mediach lub dokumentach.

 

Niedopełnienie obowiązku zapewnienia bezpieczeństwa, art. 32 RODO

CNIL zauważył, że dostęp do oprogramowania do nadzoru wideo nie był wystarczająco bezpieczny, ponieważ hasło dostępu nie było wystarczająco silne, a konto dostępu było współdzielone przez kilku użytkowników. To nagromadzenie luk w zabezpieczeniach utrudnia śledzenie dostępu do obrazów wideo, a także identyfikację każdej osoby, która wykonała działania na oprogramowaniu.

 

Więcej: https://www.cnil.fr/fr/surveillance-des-salaries-la-cnil-sanctionne-amazon-france-logistique-dune-amende-de-32-millions

 

Jeżeli chcesz być informowany na bieżąco o naszych publikacjach w www.odoserwis.pl dołącz do nas:

Facebook https://www.facebook.com/odoserwis.pl.2016/

Linkedin https://www.linkedin.com/company/odoserwis-pl/

Wydawcą odoserwis.pl jest firma JDS Consulting świadcząca usługi outsourcingu Inspektora ochrony danych, doradztwa i audytu RODO; www.jds.com.pl

 

 Irlandzka Komisja Ochrony Danych nałożyła karę 91 milionów euro na Meta Ireland za naruszenia RODO
Irlandzka Komisja Ochrony Danych nałożyła karę 91 milionów euro na Meta Ireland za naruszenia RODO
Holenderski organ ochrony danych nakłada wysokie kary za naruszenia RODO dla Uber i Clearview AI
Holenderski organ ochrony danych nakłada wysokie kary za naruszenia RODO dla Uber i Clearview AI
Szwedzki Urząd Ochrony Prywatności (IMY)  wymagania dotyczące akredytacji jednostek certyfikujących
Szwedzki Urząd Ochrony Prywatności (IMY) wymagania dotyczące akredytacji jednostek certyfikujących