35 milionów euro kary dla HiM za inwigilację pracowników

Do grona nieszczęśników 1 października 2020 roku dołączyła niemiecka spółka H&M Hennes & Mauritz Online Shop A.B. & Co. KG (dalej: „H&M”) z niebagatelną sumą 35,258,708 euro. Głównym powodem nałożenia kary była zbyt duża ingerencja H&M jako pracodawcy w dane pracowników, w tym te dotyczące ich życia prywatnego.

Stan faktyczny

Niemiecki (a dokładniej Hamburski) organ nadzorczy ustalił, że co najmniej od 2014 roku część pracowników H&M poddawana była szczegółowej „obserwacji”, a wnioski poczynione w jej toku utrwalane były w formie notatek na dysku sieciowym. Standardem było, że po nieobecności pracownika w pracy – niezależnie od tego, czy była ona spowodowana urlopem, chorobą itp. – przełożony przeprowadzał z nim tzw. „rozmowę powitalną”. Brzmi sympatycznie, natomiast celem tych rozmów była nie tyle koleżeńska wymiana wrażeń z wakacji, ale również, np. w przypadku urlopu chorobowego, ustalenie (i odnotowanie) objawów danej choroby i wydanej przez lekarzy diagnozy. Co ciekawe (i niepokojące), niektórzy przełożeni zdobywali nawet szczegółową wiedzę na temat życia prywatnego pracowników podczas zwykłych rozmów towarzyskich na korytarzu – nierzadko dotyczącą problemów rodzinnych czy przekonań religijnych – i utrwalali zebrane informacje w formie elektronicznej. Szacuje się, że dostęp do tak zebranych informacji mogło mieć nawet 50 osób z kadry kierowniczej firmy.

Należy podkreślić, że takie „notatki” o pracownikach były sporządzane z dużą szczegółowością i przechowywane przez bardzo długi czas, co umożliwiało śledzenie rozwoju poszczególnych zagadnień (wyobrażamy sobie, że działało to na zasadzie „czy pracownik, który chodzi na terapię małżeńską w końcu się rozwiedzie, a jeśli tak, to czy wpadnie w depresję i zwróci się do psychologa” itp.). Tak zebrane informacje wykorzystywane były z jednej strony do skrupulatnej oceny wydajności danego pracownika, a także do tworzenia szczegółowego profilu pracownika, przydatnego do podejmowania decyzji dotyczących zatrudnienia (np. czy dana osoba nadaje się na menedżera lub czy może firma powinna się z nią pożegnać, bo jej stan psychiczny nie rokuje zbyt dobrze).

Organ nadzorczy uznał (i trudno z tym polemizować), że doszło do szczególnie poważnego naruszenia praw obywatelskich pracowników H&M.

Jak sprawa ujrzała światło dzienne?

W październiku 2019 roku z powodu błędu w konfiguracji systemu te wszystkie dane stały się dostępne dla wszystkich pracowników H&M. Hamburski organ nadzorczy powziął informację na temat procederu dzięki doniesieniom prasowym – zareagował natychmiast i najpierw nakazał „zamrożenie” zawartości dysku sieciowego, a następnie zażądał jego przekazania. Firma grzecznie podporządkowała się instrukcjom organu i przedłożyła do oceny bazę danych o wielkości około… 60 GB. Przesłuchania licznych świadków potwierdziły wnioski płynące z analizy przekazanych danych.

O ile cała sytuacja brzmi jak rodem z książki opartej na wyznaniach byłego członka podejrzanej grupy religijnej zahaczającej o sektę, H&M przyznał się do popełnionego błędu i zaproponował różne działania naprawcze. Przede wszystkim władze firmy przedstawiły kompleksową koncepcję wdrożenia systemu ochrony danych osobowych w zakładzie w Norymberdze. Kierownictwo firmy nie tylko wyraźnie przeprosiło zainteresowanych, ale również zastosowało się do sugestii, aby wypłacić pracownikom znaczne zadośćuczynienie. Co więcej, H&M powołał koordynatora ds. ochrony danych, status ochrony danych w organizacji jest poddawany comiesięcznym aktualizacjom, został wdrożony w miarę sprawny system obsługi naruszeń ochrony danych osobowych oraz sprawna procedura postępowania z żądaniami osób, których dane dotyczą.

Komentarz niemieckiego organu nadzorczego

Do sprawy odniósł się również hamburski organ nadzorczy, Komisarz ds. ochrony danych i wolności informacji, prof. Johannes Caspar, który stwierdził, że „Ta sprawa dotyczy poważnego naruszenia ochrony danych osobowych w norymberskiej lokalizacji H&M. Wysokość nałożonej kary jest zatem odpowiednia i mam nadzieję, że okaże się skuteczna, aby powstrzymać inne firmy od naruszania prywatności swoich pracowników. Wysiłki kierownictwa mające na celu zrekompensowanie szkód osobom, których dotyczyło naruszenie, i przywrócenie zaufania do firmy jako do pracodawcy należy postrzegać w sposób zdecydowanie pozytywny. Przejrzysta komunikacja ze strony osób ponoszących odpowiedzialność za to zdarzenie oraz gwarancja rekompensaty finansowej niewątpliwie wskazują na szacunek wobec pracowników i uznanie, na jakie zasługują”. 

Podsumowanie

Trzeba przyznać, że dawno nie słyszeliśmy o tak jaskrawym naruszaniu przepisów RODO, które w tak oczywisty sposób pokazuje, że przepisy o ochronie danych osobowych są potrzebne i jakie mogą być skutki braku ich stosowania. W niniejszym stanie faktycznym organ uznał, że doszło do naruszenia przede wszystkim art. 5 i art. 6 RODO, w zakresie braku podstawy prawnej przetwarzania danych osobowych. Przypominamy, że najwyższy wymiar kary przewidziany w RODO (20 mln euro lub 4% ) grozi za naruszenie: a) podstawowych zasad przetwarzania, w tym warunków zgody, o których to zasadach i warunkach mowa w art. 5, 6, 7 oraz 9 RODO; b) praw osób, których dane dotyczą, o których mowa w art. 12–22 RODO; c) przekazywania danych osobowych odbiorcy w państwie trzecim lub organizacji międzynarodowej, o którym to przekazywaniu mowa w art. 44–49 RODO; d) wszelkich obowiązków wynikających z prawa państwa członkowskiego przyjętego na podstawie rozdziału IX; e) nieprzestrzegania nakazu, tymczasowego lub ostatecznego ograniczenia przetwarzania lub zawieszenia przepływu danych orzeczonego przez organ nadzorczy na podstawie art. 58 ust. 2 lub niezapewnienia dostępu skutkującego naruszeniem art. 58 ust. 1 RODO.




 

Przetestuj System Legalis

 
Zadzwoń:
22 311 22 22
Koszt połączenia wg taryfy operatora.
lub zostaw swoje dane, a Doradca zdalnie
zbada Twoje potrzeby i uruchomi dostęp:

W polu numeru telefonu należy stosować wyłącznie cyfry (min. 9).


Wyślij

* Pola wymagane

Zasady przetwarzania danych osobowych: Administratorem danych osobowych jest Wydawnictwo C.H.Beck sp. z o.o., Warszawa, ul. Bonifraterska 17, kontakt: daneosobowe[at]beck.pl. Dane przetwarzamy w celu marketingu własnych produktów i usług, w celach wskazanych w treści zgód, jeśli były wyrażane, w celu realizacji obowiązków prawnych, oraz w celach statystycznych. W sytuacjach przewidzianych prawem, przysługują Ci prawa do: dostępu do swoich danych, otrzymania ich kopii, sprostowania, usunięcia, ograniczenia przetwarzania, przenoszenia, cofnięcia zgody oraz wniesienia sprzeciwu wobec przetwarzania danych. Pełne informacje w Polityce prywatności.


Wydawnictwo C.H.Beck
ul. Bonifraterska 17
00-203 Warszawa
Tel: 22 311 22 22
E-mail: legalis@beck.pl
NIP: 522-010-50-28, KRS: 0000155734
Sąd Rejonowy dla miasta stołecznego Warszawy
w Warszawie Kapitał Spółki: 88 000 zł

Zasady przetwarzania danych osobowych