Η γαλλική αρχή προστασίας δεδομένων διαπίστωσε την παραβίαση σειράς διατάξεων του ΓΚΠΔ από τη χρήση των ατομικών σαρωτών των εργαζομένων και τη λειτουργία καμερών
Προκειμένου να καθορίσει το ύψος του προστίμου, η γαλλική εποπτική αρχή έλαβε υπόψη της ιδίως το γεγονός ότι η επεξεργασία δεδομένων των εργαζομένων με τη χρήση σαρωτών διέφερε από τις παραδοσιακές μεθόδους παρακολούθησης της δραστηριότητάς τους, λόγω της κλίμακας στην οποία εφαρμόστηκαν, από άποψη πληρότητας και μονιμότητας, και είχε ως αποτέλεσμα την πολύ στενή και λεπτομερή παρακολούθηση της εργασίας τους.
Τα συστήματα αυτά κρατούσαν τους εργαζόμενους υπό στενή παρακολούθηση για όλες τις εργασίες που εκτελούνταν με σαρωτές και έτσι τους έθεταν υπό συνεχή πίεση. Η CNIL έλαβε επίσης υπόψη της τον μεγάλο αριθμό των εμπλεκόμενων ατόμων (αρκετές χιλιάδες) και έκρινε ότι οι περιορισμοί που επιβάλλονταν στους εργαζομένους μέσω αυτού του αυτοματοποιημένου συστήματος παρακολούθησης συνέβαλαν άμεσα στα οικονομικά κέρδη της εταιρείας και της έδιναν ανταγωνιστικό πλεονέκτημα έναντι άλλων εταιρειών στην αγορά των ηλεκτρονικών πωλήσεων.
Κυρώσεις για παραβάσεις
Η CNIL διαπίστωσε ότι η AMAZON FRANCE LOGISTIQUE παραβίασε σειρά διατάξεων του ΓΚΠΔ.
1. Παραβάσεις που σχετίζονται με την παρακολούθηση των εργαζομένων με τη χρήση σαρωτών
1Α. Παραβάσεις που σχετίζονται με τη διαχείριση αποθεμάτων και παραγγελιών στην αποθήκη
Η εταιρεία χρησιμοποιεί δείκτες σχετικά με τη δραστηριότητα και την απόδοση των εργαζομένων, οι οποίοι συλλέγονται με τη βοήθεια σαρωτών, για τη διαχείριση των αποθεμάτων και των παραγγελιών στις αποθήκες της σε πραγματικό χρόνο:
Μη συμμόρφωση με την αρχή της ελαχιστοποίησης των δεδομένων (άρθρο 5.1.γ ΓΚΠΔ)
Η διαδικασία διαχείρισης αποθεμάτων και παραγγελιών αναλύεται σε διάφορες εργασίες (παραλαβή ειδών, αποθήκευση αποθεμάτων, προετοιμασία και αποστολή παραγγελιών) και στηρίζεται επίσης στη διαχείριση κάθε εργαζομένου προκειμένου να του παρέχεται, εάν είναι απαραίτητο, βοήθεια για την εκτέλεση αυτών των εργασιών (coaching) ή να του ανατίθεται, εάν είναι απαραίτητο, άλλη εργασία.
Ωστόσο, η γαλλική αρχή θεωρεί ότι η παροχή βοήθειας σε έναν εργαζόμενο ή η ανακατανομή του σε πραγματικό χρόνο δεν απαιτεί πρόσβαση σε κάθε λεπτομέρεια των δεικτών ποιότητας και παραγωγικότητας του εργαζομένου που συλλέγονται με τη χρήση των σαρωτών κατά τον τελευταίο μήνα. Επισημαίνει ότι οι προϊστάμενοι μπορούν να βασίζονται στα δεδομένα που αναφέρονται σε πραγματικό χρόνο για να εντοπίσουν τυχόν δυσκολίες που μπορεί να αντιμετωπίζει ένας εργαζόμενος και οι οποίες μπορεί να απαιτούν καθοδήγηση, ή για να εντοπίσουν εργαζόμενους που πρέπει να ανατεθούν σε μια εργασία σε περίπτωση αιχμής της δραστηριότητας. Ως εκ τούτου, πιστεύει ότι, εκτός από τα δεδομένα σε πραγματικό χρόνο, μια επιλογή συγκεντρωτικών δεδομένων, σε εβδομαδιαία βάση για παράδειγμα, θα ήταν επαρκής.
Παράλειψη διασφάλισης νομιμότητας της επεξεργασίας (άρθρο 6 ΓΚΠΔ)
Η επιτροπή περιορισμένης ευθύνης θεωρεί ότι τρεις δείκτες που επεξεργάζεται η εταιρεία είναι παράνομοι:
– ο δείκτης “Stow Machine Gun“, ο οποίος αναγνωρίζει σφάλμα όταν ένας υπάλληλος σαρώνει ένα αντικείμενο “πολύ γρήγορα” (δηλαδή σε λιγότερο από 1,25 δευτερόλεπτα μετά τη σάρωση ενός προηγούμενου αντικειμένου),
– ο δείκτης “idle time“, ο οποίος αναγνωρίζει περιόδους αδράνειας του σαρωτή διάρκειας δέκα λεπτών ή περισσότερο,
– ο δείκτης “latency under ten minutes“, ο οποίος αναγνωρίζει περιόδους διακοπής χρήσης του σαρωτή μεταξύ ενός και δέκα λεπτών.
Χωρίς να αμφισβητεί την ανάγκη ακριβούς παρακολούθησης των διενεργούμενων χειρισμών και της κατάστασης κάθε εργαζομένου, προκειμένου να διασφαλιστεί η ποιότητα των υπηρεσιών και η ασφάλεια στις αποθήκες της, η CNIL σημείωσε ωστόσο ότι η επεξεργασία των τριών αυτών δεικτών δεν μπορούσε να βασιστεί στο έννομο συμφέρον, καθώς οδηγούσε σε υπερβολική παρακολούθηση του εργαζομένου σε σχέση με τον επιδιωκόμενο από την εταιρεία στόχο.
Πρώτον, η επεξεργασία του δείκτη Stow Machine Gun σημαίνει ότι οποιαδήποτε αποθήκευση πραγματοποιείται από έναν εργαζόμενο μπορεί να παρακολουθείται διαρκώς με ακρίβεια δευτερολέπτου και να συνδέεται με σφάλμα εάν ο εργαζόμενος διεκπεραιώνει πολύ γρήγορα.
Δεύτερον, η χρήση των δεικτών “idle time” και “latency under ten minutes” καθιστά δυνατή τη συνεχή παρακολούθηση κάθε φορά που η λειτουργία του σαρωτή ενός εργαζομένου διακόπτεται, ακόμη και για πολύ μικρό χρονικό διάστημα (κάτω των δέκα λεπτών ή πάνω από δέκα λεπτά).
Παρ’ όλα αυτά, η CNIL σημειώνει ότι η εταιρεία έχει ήδη πρόσβαση σε πολυάριθμους δείκτες σε πραγματικό χρόνο, τόσο μεμονωμένους όσο και συγκεντρωτικούς, προκειμένου να επιτύχει τον στόχο της για ποιότητα και ασφάλεια στις αποθήκες της. Παράλληλα, επισημαίνει ότι η επεξεργασία αυτών των δύο δεικτών σημαίνει ότι ο εργαζόμενος είναι δυνητικά υποχρεωμένος να δικαιολογήσει ανά πάσα στιγμή τη διακοπή λειτουργίας του σαρωτή του, ακόμη και για πολύ μικρό χρονικό διάστημα.
Με τον τρόπο αυτό που εφαρμόζεται, η επεξεργασία κρίνεται ως υπερβολικά παρεμβατική.
1Β. Παραβάσεις σχετικά με το πρόγραμμα εργασίας και την αξιολόγηση των εργαζομένων
Η εταιρεία χρησιμοποιεί επίσης τα δεδομένα και τους δείκτες δραστηριότητας και απόδοσης των εργαζομένων που συλλέγονται από τους σαρωτές για τον προγραμματισμό της εργασίας στις αποθήκες της, την αξιολόγηση των εργαζομένων κάθε εβδομάδα και την εκπαίδευσή τους:
Μη συμμόρφωση με την αρχή της ελαχιστοποίησης των δεδομένων (άρθρο 5.1.γ ΓΚΠΔ)
Η CNIL θεωρεί ότι ο προγραμματισμός της εργασίας στις αποθήκες, μαζί με την αξιολόγηση και την κατάρτιση του εργαζομένου δεν απαιτούν την πρόσβαση σε κάθε λεπτομέρεια των δεδομένων και των στατιστικών δεικτών που παρέχονται από τον σαρωτή που χρησιμοποιεί ο εργαζόμενος και καταγράφονται για τον τελευταίο μήνα.
Η γαλλική αρχή θεωρεί ότι τα στατιστικά στοιχεία ανά εργαζόμενο, συγκεντρωτικά για την εβδομάδα για παράδειγμα, αρκούν για να αξιολογηθεί η ικανότητα ενός εργαζομένου σε μια εργασία και να συγκροτηθούν οι σχετικές ομάδες. Κατά τον ίδιο τρόπο, τα εν λόγω στατιστικά στοιχεία παρέχουν μια επισκόπηση της απόδοσης ενός εργαζομένου και είναι επαρκή για την αξιολόγηση και τον εντοπισμό των αναγκών κατάρτισης ή για την παρακολούθηση της προόδου του εργαζομένου.
Τέλος, η CNIL κρίνει πως ο στόχος της παρακολούθησης της πραγματικής εργασίας του εργαζομένου, της αξιολόγησης ή της εκπαίδευσής του δεν δικαιολογεί την καταγραφή οποιουδήποτε χρόνου αδράνειας άνω των δέκα λεπτών.
Μη τήρηση της υποχρέωσης πληροφόρησης και διαφάνειας (άρθρα 12 και 13 ΓΚΠΔ)
Η CNIL διαπίστωσε ότι, μέχρι τον Απρίλιο του 2020, οι προσωρινά απασχολούμενοι στην εταιρεία δεν είχαν ενημερωθεί επαρκώς, καθώς η εταιρεία δεν διασφάλισε ότι τους είχε δοθεί η πολιτική προστασίας δεδομένων πριν από τη συλλογή των προσωπικών τους δεδομένων με τη χρήση των σαρωτών.
2. Παραβάσεις που σχετίζονται με την επεξεργασία δεδομένων μέσω βιντεοεπιτήρησης
Μη συμμόρφωση με την υποχρέωση ενημέρωσης και διαφάνειας (άρθρα 12 και 13 ΓΚΠΔ)
Η CNIL διαπίστωσε ότι ούτε οι εργαζόμενοι ούτε οι επισκέπτες είχαν ενημερωθεί επαρκώς για τα συστήματα βιντεοεπιτήρησης, δεδομένου ότι ορισμένες από τις πληροφορίες που προβλέπονται στο άρθρο 13 ΓΚΠΔ δεν παρέχονταν ούτε στις ενημερωτικές πινακίδες, ούτε σε άλλα μέσα ή έγγραφα.
Μη συμμόρφωση με την υποχρέωση ασφάλειας των δεδομένων (άρθρο 32 ΓΚΠΔ)
Η CNIL σημείωσε ότι η πρόσβαση στο λογισμικό βιντεοεπιτήρησης δεν ήταν επαρκώς ασφαλής, δεδομένου ότι ο κωδικός πρόσβασης δεν ήταν αρκετά ισχυρός και ο λογαριασμός πρόσβασης μοιραζόταν μεταξύ πολλών χρηστών. Αυτή η συσσώρευση κενών ασφαλείας καθιστά δυσκολότερο τον εντοπισμό της πρόσβασης σε βιντεοληπτικό υλικό και την ταυτοποίηση κάθε προσώπου που έχει πραγματοποιήσει ενέργειες στο λογισμικό.
Από την ανακοίνωση της γαλλικής αρχής προστασίας δεδομένων.
