De Franse Gegevensbeschermingsautoriteit Commission Nationale de l'Informatique et des Libertés (CNIL) legde bij een beslissing van 27 december 2023 een boete van maar liefst 32 miljoen euro op aan Amazon France Logistique wegens het buitensporig monitoren van haar werknemers.

Achtergrond

Amazon France Logistique beheert de magazijnen en distributiecenters in Frankrijk van de populaire webwinkel Amazon. In deze magazijnen worden de pakketten van klanten ontvangen, gestockeerd en vervolgens klaargemaakt voor de verzending naar de klant. Er zijn 6.200 werknemers en 21.000 uitzendkrachten werkzaam op de site. Om hun werk te kunnen uitvoeren, werden de magazijnmedewerkers uitgerust met een scanner om in real time de uitvoering van hun taken te registreren. Hiermee werden onder meer gegevens bewaard omtrent het plaatsen of verwijderen van een artikel uit de rekken, het wegzetten of inpakken van artikelen, … Deze gegevens werden vervolgens gebruikt om het werk van de werknemer te controleren op kwaliteit, productiviteit en periodes van inactiviteit. Nadat deze monitoring aan het licht kwam in de pers en er verschillende klachten van de werknemers werden neergelegd, is de CNIL overgegaan tot onderzoek.

Beslissing CNIL

Na grondig onderzoek concludeert de CNIL dat er sprake is van buitensporige monitoring om de volgende redenen:

  • Het opzetten van een systeem dat de periodes van inactiviteit op een dergelijk nauwkeurige manier meet, leidt tot een situatie waar de werknemers elke pauze of onderbreking moeten rechtvaardigen.
  • Het meten van de snelheid waarmee bepaalde producten werden gescand, werd overdadig bevonden. Zo was er een indicator om aan te geven of een product binnen de 1,25 seconden werd gescand nadat het vorige product was gescand.
  • De CNIL achtte het niet noodzakelijk om al deze data bij te houden voor een periode van 31 dagen.

De CNIL besloot dat deze monitoring een inbreuk uitmaakte op de principes van minimale gegevensverwerking, rechtmatigheid en transparantie van de GDPR.

Schending GDPR principes

Het principe van minimale gegevensverwerking houdt in dat persoonsgegevens toereikend moeten zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt. Amazon gaf aan dat deze monitoring nodig was om de medewerkers te identificeren die coaching nodig hadden of eventueel een andere taak moesten toegewezen krijgen. De CNIL stelt echter dat het in dat kader niet noodzakelijk was om elk detail van de  werkzaamheden van de voorbije maand te verwerken. Volgens de CNIL kon dit doeleinde ook bereikt worden met het in real time raadplegen van deze gegevens, eventueel in combinatie met een selectie van geaggregeerde data op wekelijkse basis. Bijgevolg wordt er een inbreuk op het principe van minimale gegevensverwerking vastgesteld.

Op drie punten oordeelde de CNIL dat de verwerkte gegevens onrechtmatig waren, met name de informatie met betrekking tot de snelheid van het scannen (is een nieuw product te snel gescand na een vorig product),  de meting van de ‘downtime' (onderbrekingen van meer dan 10 minuten) en de melding van onderbrekingen tussen 1 en 10 minuten. De CNIL stelt dat deze mate van monitoring ertoe kan leiden dat een werknemer elke korte onderbreking zal moeten kunnen verantwoorden.

Amazon liet ten slotte na om alle werknemers en uitzendkrachten op voldoende wijze te informeren over de monitoring. De informatie werd wel opgenomen in de privacykennisgeving voor werknemers, maar deze was uitsluitend beschikbaar op het intranet. Aangezien de magazijnmedewerkers in principe geen toegang hebben tot het intranet, beschouwde de CNIL dit niet als een afdoende manier van informatievertrekking en stelde zij ook een inbreuk op het transparantiebeginsel vast.

Gebrekkige video monitoring

Tot slot werden er ook inbreuken vastgesteld met betrekken tot de video monitoring. De CNIL oordeelde dat noch de werknemers, noch externe bezoekers aan de magazijnen correct geïnformeerd werden over de camerabewaking in de magazijnen. Zo was het bijvoorbeeld niet duidelijk hoelang de beelden werden bewaard, werden de contactgegevens van de DPO niet meegedeeld en werd er geen informatie meegedeeld over het recht om een klacht in te dienen bij de gegevensbeschermingsautoriteit.

Daarnaast liet Amazon ook na om haar video monitoring software afdoende te beveiligen. De CNIL merkte op dat het wachtwoord om toegang te nemen tot deze software te zwak was en de inloggegevens bovendien gedeeld werden tussen meerdere werknemers. Op deze manier was het volgens de CNIL quasi onmogelijk om de traceren wie er wanneer toegang had tot de videosystemen en welke acties werden uitgevoerd.

Aandachtspunt

Lessen voor monitoring in België

Het is niet verboden om camera's te plaatsen op de werkvloer of om werknemers te monitoren, zolang dat met respect voor het recht op privacy van de werknemers gebeurt. In België moet bovendien worden rekening gehouden met enkele specifieke cao's die e-monitoring en camerabewaking op de werkvloer regelen.

Vooraleer een onderneming in België haar werknemers wenst te monitoren, is het van belang om de noodzaak hiervan erg kritisch te beoordelen en daarbij steeds na te gaan of er geen minder ingrijpende alternatieve oplossingen bestaan.

In elk geval moeten de principes van de GDPR blijven nageleefd worden, in het bijzonder:

  • Rechtmatigheid: er moet een rechtsgrond kunnen aangewezen worden voor elke verwerking van persoonsgegevens. Voor monitoring wordt vaak een beroep gedaan op het gerechtvaardigd belang van de onderneming. Dit belang moet echter afgewogen worden tegen de rechten en vrijheden van de werknemers, onder meer in het licht van de redelijke verwachtingen van de werknemer.
  • Transparantie: informeer de betrokken werknemers tijdig én volledig over het hoe, wat en waarom van de monitoring.
  • Minimale gegevensverwerking: er mogen niet meer gegevens verzameld worden dan strikt noodzakelijk is om het doel te bereiken.
  • Opslagbeperking: gegevens mogen niet langer bewaard worden dan strikt noodzakelijk om het doel te bereiken.

Gezien monitoring vaak een verwerking met een hoger risico uitmaakt, is het meestal aangewezen om een gegevensbeschermingseffectbeoordeling (GEB) uit te voeren. Elke verwerking moet bovendien in het register van verwerkingsactiviteiten opgenomen worden.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.