Od maja 2018 roku nałożono w sumie cztery takie kary na Google Inc. (50 mln euro), British Airways (204,6 mln  euro), Marriot International, Inc (110.390.200 euro) i operatora komunikacyjnego TIM (27,800,000 euro). 1 października 2020 roku do tego grona dołączyła niemiecka spółka H&M Hennes & Mauritz Online Shop A.B. & Co. KG (dalej: „H&M”) z niebagatelną sumą 35.258.708 euro. Głównym powodem nałożenia kary była zbyt duża ingerencja H&M jako pracodawcy w dane pracowników, w tym te dotyczące ich życia prywatnego.

 

Sprawdź również książkę: MERITUM Ochrona danych osobowych >>


Stan faktyczny

Niemiecki (a dokładnie - hamburski) organ nadzorczy ustalił, że co najmniej od 2014 roku część pracowników H&M poddawana była szczegółowej „obserwacji”, a wnioski poczynione w jej toku utrwalane były w formie notatek na dysku sieciowym. Standardem było, że po nieobecności pracownika w pracy – niezależnie od tego, czy była ona spowodowana urlopem, chorobą itp. – przełożony przeprowadzał z nim tzw. „rozmowę powitalną”. Brzmi sympatycznie, natomiast celem tych rozmów była nie tyle koleżeńska wymiana wrażeń z wakacji, ale również, np. w przypadku urlopu chorobowego, ustalenie (i odnotowanie) objawów danej choroby i wydanej przez lekarzy diagnozy. Co ciekawe (i niepokojące), niektórzy przełożeni zdobywali nawet szczegółową wiedzę na temat życia prywatnego pracowników podczas zwykłych rozmów towarzyskich na korytarzu – nierzadko dotyczącą problemów rodzinnych czy przekonań religijnych – i utrwalali zebrane informacje w formie elektronicznej. Szacuje się, że dostęp do tak zebranych informacji mogło mieć nawet 50 osób z kadry kierowniczej firmy.

Czytaj w LEX: Okiem IOD-a: praktyczne problemy związane z przetwarzaniem danych pracowników >

Należy podkreślić, że takie „notatki” o pracownikach były sporządzane z dużą szczegółowością i przechowywane przez bardzo długi czas, co umożliwiało śledzenie rozwoju poszczególnych zagadnień. Informacje zebrane w ten sposób wykorzystywane były z jednej strony do skrupulatnej oceny wydajności danego pracownika, z drugiej zaś do tworzenia szczegółowego profilu pracownika, przydatnego do podejmowania decyzji dotyczących zatrudnienia (np. czy dana osoba nadaje się na menedżera lub czy może firma powinna się z nią pożegnać, bo jej stan psychiczny nie rokuje zbyt dobrze).

Organ nadzorczy uznał, że doszło do szczególnie poważnego naruszenia praw obywatelskich pracowników H&M.

 


Jak sprawa ujrzała światło dzienne

W październiku 2019 roku z powodu błędu w konfiguracji systemu te wszystkie dane stały się dostępne dla wszystkich pracowników H&M. Hamburski organ nadzorczy powziął informację na temat procederu dzięki doniesieniom prasowym – zareagował natychmiast i najpierw nakazał „zamrożenie” zawartości dysku sieciowego, a następnie zażądał jego przekazania. Firma podporządkowała się instrukcjom organu i przedłożyła do oceny bazę danych o wielkości około… 60 GB. Przesłuchania licznych świadków potwierdziły wnioski płynące z analizy przekazanych danych.

Czytaj w LEX: RODO w IT: dane osobowe a architektura IT >

H&M przyznał się do popełnionego błędu i zaproponował różne działania naprawcze. Przede wszystkim władze firmy przedstawiły kompleksową koncepcję wdrożenia systemu ochrony danych osobowych w zakładzie w Norymberdze. Kierownictwo firmy nie tylko wyraźnie przeprosiło zainteresowanych, ale również zastosowało się do sugestii, aby wypłacić pracownikom znaczne zadośćuczynienie. Co więcej, H&M powołał koordynatora ds. ochrony danych, status ochrony danych w organizacji jest poddawany comiesięcznym aktualizacjom, został wdrożony w miarę efektywny system obsługi naruszeń ochrony danych osobowych oraz sprawna procedura postępowania z żądaniami osób, których dane dotyczą.

Czytaj w LEX: RODO - bezpieczeństwo danych osobowych w dziale kadr >

 

Poważne naruszenie ochrony danych osobowych

Do sprawy odniósł się również hamburski organ nadzorczy, komisarz ds. ochrony danych i wolności informacji, prof. Johannes Caspar, który stwierdził, że „ta sprawa dotyczy poważnego naruszenia ochrony danych osobowych w norymberskiej lokalizacji H&M. Wysokość nałożonej kary jest zatem odpowiednia i mam nadzieję, że okaże się skuteczna, aby powstrzymać inne firmy od naruszania prywatności swoich pracowników. Wysiłki kierownictwa mające na celu zrekompensowanie szkód osobom, których dotyczyło naruszenie, i przywrócenie zaufania do firmy jako do pracodawcy należy postrzegać w sposób zdecydowanie pozytywny. Przejrzysta komunikacja ze strony osób ponoszących odpowiedzialność za to zdarzenie oraz gwarancja rekompensaty finansowej niewątpliwie wskazują na szacunek wobec pracowników i uznanie, na jakie zasługują”.

Czytaj w LEX: Odpowiedzialność cywilna za naruszenie przepisów o ochronie danych osobowych >

Trzeba przyznać, że dawno nie słyszeliśmy o tak jaskrawym naruszaniu przepisów RODO, które pokazuje, że przepisy o ochronie danych osobowych są potrzebne i jakie mogą być skutki braku ich stosowania. W niniejszym stanie faktycznym organ uznał, że doszło do naruszenia przede wszystkim art. 5 i art.  6 RODO, w zakresie braku podstawy prawnej przetwarzania danych osobowych. Przypomnijmy, że najwyższy wymiar kary przewidziany w RODO (20 mln euro lub 4 proc.) grozi za naruszenie: podstawowych zasad przetwarzania, w tym warunków zgody, o których to zasadach i warunkach mowa w art. 5, 6, 7 oraz 9 RODO;  praw osób, których dane dotyczą, o których mowa w art. 12–22 RODO; przekazywania danych osobowych odbiorcy w państwie trzecim lub organizacji międzynarodowej, o którym to przekazywaniu mowa w art. 44–49 RODO; wszelkich obowiązków wynikających z prawa państwa członkowskiego przyjętego na podstawie rozdziału IX; nieprzestrzegania nakazu, tymczasowego lub ostatecznego ograniczenia przetwarzania lub zawieszenia przepływu danych orzeczonego przez organ nadzorczy na podstawie art. 58 ust. 2 lub niezapewnienia dostępu skutkującego naruszeniem art. 58 ust. 1 RODO.

Agata Kłodzińska, ekspert ds. ochrony danych, ODO 24

Czytaj w LEX: Okiem IOD-a: dane biometryczne – granice wykorzystania >