Amazon krijgt in Frankrijk een fikse GDPR-boete. Niet richting klanten, wel richting eigen werknemers omdat het met pure data te sterk prestaties wilde kwantificeren.
De nationale commissie rond informatica en vrijheid (CNIL), de Franse privacywaakhond, heeft Amazon een GDPR-boete van 32 miljoen euro opgelegd. Amazon hanteert volgens CNIL namelijk een ‘overdreven’ systeem dat werknemers monitort op vlak van activiteit en prestaties. Waarom dan specifiek de GDPR-boete?
Het systeem registreert de prestaties van elke werknemer aan de hand van het gebruik van scanners. Iedereen heeft er een waarmee ze hun taken documenteren. Zo scannen ze wanneer ze iets van een schab halen, ergens wegleggen of in een doos stoppen.
Volgens de privacywaakhond meet het systeem onderbrekingen zo precies dat het werknemers een gevoel kan geven dat een pauze of onderbreking illegaal is. Het verhoogt ook volgens hen het risico op fouten, omdat sneller beter is.
De hoeveelheid data die uit de scanners wordt getrokken door Amazon, gaat erover volgens CNIL. Het schendt het GDPR-principe van data-minimalisatie omdat de verwerking ervan te kort door de bocht is. Zo werden er drie indicatoren geregistreerd:
- ‘Stow Machine Gun’: te snel het volgende item gescand. Er moet minstens 1,25 seconde tussen zitten
- ‘idle time’: een signaal dat activeert wanneer je tien minuten niets scant
- ‘latency time less than ten minutes’: een signaal wanneer je tussen de één en tien minuten niets hebt gescand
Extra belastend: voor 2020 waren werknemers niet eens op de hoogte dat deze data werd verzameld.
Amazon gaat niet akkoord met de GDPR-boete van het CNIL en wijst naar factuele incorrectheden. Volgens hen zijn managementsystemen in warenhuizen standaard binnen de industrie om veilig, kwalitatief en efficiënt te werken.
Het is voorlopig onduidelijk of het om een geïsoleerd geval gaat in Frankrijk, of dat Amazon ook in andere Europese landen op een GDPR-boete mag rekenen. De komende jaren zal het sowieso nog meer onder het vergrootglas liggen als ‘poortwachter‘ binnen de Europese Unie via de Digital Markets Act (DMA).