Commission Nationale de l’Informatique et des Libertés (CNIL) har utfärdat en sanktionsavgift på 32 miljoner mot Amazon France Logistique för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att CNIL genomfört tillsyn på plats i Amazon France Logistiques (AFL) lokaler för att kontrollera företagets behandling av anställdas personuppgifter via skannrar och kamerabevakning.
Vid tillsynen upptäckte CNIL att när en anställd tilldelades en direkt uppgift var de utrustade med en skanner som gjorde det möjligt för dem att identifiera sig, ta emot instruktioner, skanna etiketter på de artiklar de bearbetade etc. Detta gjorde det möjligt för AFL att kontinuerligt samla in uppgifter om aktiviteten hos anställda som tilldelats direkta uppgifter, vilket gjorde det möjligt att mäta den anställdes aktivitet, särskilt genom att räkna antalet enheter som de bearbetar under en viss period.
Inaktivitetsindikatorer rapporterades i realtid för varje anställd. En av indikatorerna, Stow Gun Machine, gjorde det möjligt för AFL att övervaka varje gest som den anställde utförde i varje direkt uppgift som tilldelats dem, genom att koppla en felindikator till den anställde varje gång deras hastighet var mindre än 1,25 sekunder. Dessa indikatorer lagrades i 31 dagar och kunde konsulteras både via rådata och i form av statistik. På grundval av de insamlade indikatorerna upprättades veckovisa prestationsrapporter för varje anställd med vecko-, dags- och timstatistik över efterlevnaden av kvalitetsförfarandena och produktiviteten.
CNIL konstaterade att behandlingen av personuppgifter endast är laglig om den är nödvändig för AFL berättigade intressen, såvida inte den registrerades intressen eller grundläggande fri- och rättigheter väger tyngre än dessa intressen. CNIL konstaterade att de rättsliga grunder som anges i artikel 6.1 GDPR inte kunde tillämpas med hänsyn till den aktuella behandlingens art. Samtycke kunde inte tillämpas i detta fall på grund av obalansen i förhållandet mellan arbetsgivare och arbetstagare. Därför angav CNIL att behandlingen endast kunde baseras på berättigat intresse, så länge det inte oproportionerligt påverkade de anställdas rättigheter, friheter och intressen.
CNIL noterade att behandlingen av Stow Gun Machine-indikatorerna sannolikt skulle få moraliska återverkningar på de anställda och att inaktivitetsindikatorerna var kopplade till varje anställds identitet, vilket i praktiken tvingade de anställda att kunna motivera all tid som ansågs vara icke-produktiv. CNIL ansåg att dessa åtgärder var mycket ingripande och därför inte kunde grundas på ett berättigat intresse enligt artikel 6.1 (f) GDPR.
CNIL konstaterade vidare att personuppgifter ska vara adekvata, relevanta och begränsade till vad som är nödvändigt med hänsyn till ändamålen (uppgiftsminimering). Enligt CNIL uppfyllde AFL:s behandling inte principen upp uppgiftsminimering enligt artikel 5.1 (c) GDPR när det gäller behandlingen av kvalitets- och produktivitetsindikatorer i syfte att omplacera och coacha anställda i realtid, behandlingen i samband med veckoplanering och behandlingen i samband med utvärderingar av anställda. CNIL ansåg att det inte var nödvändigt att lagra och få tillgång till alla dessa rådata som användes för dessa ändamål.
CNIL noterade att fram till april 2020 fick tillfälligt anställda inte den integritetspolicy som gällde för personalavdelningen och de uppmanades inte heller att bekanta sig med den på intranätet. CNIL ansåg att informationen om behandling på intranätet för anställda som arbetar i lagerlokaler och som inte var avsedda att arbeta på en kontorsdator inte utgjorde ett tillfredsställande sätt att informera, varför ALF brutit mot informationskraven i artikel 12 GDPR och artikel 13 GDPR. CNIL konstaterade också att ALF inte uppfyllde artikel 13 GDPR avseende kamerabevakning, eftersom ALF inte angav hur länge uppgifterna skulle lagras, rätten att lämna in ett klagomål till CNIL och kontaktuppgifterna till dataskyddsombudet.
Slutligen ansåg CNIL när det gäller kamerabevakning att bristen på spårbarhet av åtkomst på grund av användningen av ett delat konto försvårade utredningsarbetet i händelse av bedräglig åtkomst, försämring eller radering av bilder. CNIL ansåg också att lösenordet för åtkomst till bevakningsprogramvaran inte var tillräckligt robust och kunde leda till attacker från obehöriga parter, och att autentiseringen av behöriga personer till ett individuellt Windows-konto innan de anslöt till programvaran för kamerabevakning inte var tillräcklig för att kompensera för de sårbarheter som uppstod genom åtkomst till programvaran från ett delat konto och med användning av ett otillräckligt robust lösenord. Följaktligen konstaterade CNIL att dessa fakta utgjorde en överträdelse av artikel 32 GDPR.
Med hänsyn till alla överträdelser beslutade CNIL att ålägga en administrativ sanktionsavgift på 32 miljoner euro.