Mimo że RODO wprost przewiduje, że administracyjna kara pieniężna, która grozi za naruszenie kluczowych przepisów RODO może sięgać 20 mln euro, a w przypadku przedsiębiorstwa nawet 4 proc. jego całkowitego rocznego światowego obrotu, to kary przekraczające ten magiczny pułap 20 mln zawsze szokują. Od maja 2018 r. zostały takie kary nałożone w sumie cztery, kolejno na: Google Inc. (50 mln euro), British Airways (204,6 mln euro), Marriot International, Inc (blisko 110,4 mln) i operatora komunikacyjnego TIM (27,8 mln euro).
Niemiecki, a dokładniej hamburski organ nadzorczy ustalił, że co najmniej od 2014 r. część pracowników H&M poddawana była szczegółowej „obserwacji”, a wnioski poczynione w jej toku utrwalane były w formie notatek na dysku sieciowym. Standardem było, że po nieobecności pracownika w pracy - niezależnie od tego, czy była ona spowodowana urlopem, chorobą itp. - przełożony przeprowadzał z nim tzw. „rozmowę powitalną”. Brzmi sympatycznie, natomiast celem tych rozmów była nie tyle koleżeńska wymiana wrażeń z wakacji, ale również, np. w przypadku urlopu chorobowego, ustalenie (i odnotowanie) objawów danej choroby i wydanej przez lekarzy diagnozy.
Co ciekawe, niektórzy przełożeni zdobywali nawet szczegółową wiedzę na temat życia prywatnego pracowników podczas zwykłych rozmów towarzyskich na korytarzu - nierzadko dotyczącą problemów rodzinnych czy przekonań religijnych - i utrwalali zebrane informacje w formie elektronicznej. Szacuje się, że dostęp do tak zebranych informacji mogło mieć nawet 50 osób z kadry kierowniczej firmy.
Takie „notatki” o pracownikach były sporządzane z dużą szczegółowością i przechowywane przez bardzo długi czas, co umożliwiało śledzenie rozwoju poszczególnych zagadnień (wyobrażamy sobie, że działało to na zasadzie „czy pracownik, który chodzi na terapię małżeńską w końcu się rozwiedzie, a jeśli tak, to czy wpadnie w depresję i zwróci się do psychologa” itp.).
Informacje zebrane w ten sposób wykorzystywane były z jednej strony do skrupulatnej oceny wydajności danego pracownika, z drugiej zaś do tworzenia szczegółowego profilu pracownika, przydatnego do podejmowania decyzji dotyczących zatrudnienia (np. czy dana osoba nadaje się na menedżera lub czy może firma powinna się z nią pożegnać, bo jej stan psychiczny nie rokuje zbyt dobrze).
Organ nadzorczy uznał - z czym trudno z polemizować, że doszło do szczególnie poważnego naruszenia praw obywatelskich pracowników H&M.
Jak sprawa ujrzała światło dzienne?
W październiku 2019 r. z powodu błędu w konfiguracji systemu te wszystkie dane stały się dostępne dla wszystkich pracowników H&M. Hamburski organ nadzorczy dowiedział się o procederze dzięki doniesieniom prasowym - zareagował natychmiast i najpierw nakazał „zamrożenie” zawartości dysku sieciowego, a następnie zażądał jego przekazania. Firma podporządkowała się instrukcjom organu i przedłożyła do oceny bazę danych o wielkości ok. 60 GB. Przesłuchania licznych świadków potwierdziły wnioski płynące z analizy przekazanych danych.
Firma zgromadziła 60 GB danych na temat pracowników (fot. Freeimages)
O ile cała historia brzmi jak rodem z książki lub filmu, H&M przyznał się do popełnionego błędu i zaproponował różne działania naprawcze. Przede wszystkim władze firmy przedstawiły kompleksową koncepcję wdrożenia systemu ochrony danych osobowych w zakładzie w Norymberdze. Kierownictwo firmy nie tylko wyraźnie przeprosiło zainteresowanych, ale również zastosowało się do sugestii, aby wypłacić pracownikom znaczne zadośćuczynienie.
Co więcej, H&M powołał koordynatora ds. ochrony danych, status ochrony danych w organizacji jest poddawany comiesięcznym aktualizacjom, został wdrożony w miarę efektywny system obsługi naruszeń ochrony danych osobowych oraz sprawna procedura postępowania z żądaniami osób, których dane dotyczą.
Poważne naruszenie przepisów
Do sprawy odniósł się również hamburski organ nadzorczy, komisarz ds. ochrony danych i wolności informacji, prof. Johannes Caspar, który stwierdził, że „ta sprawa dotyczy poważnego naruszenia ochrony danych osobowych w norymberskiej lokalizacji H&M.
"Wysokość nałożonej kary jest zatem odpowiednia i mam nadzieję, że okaże się skuteczna, aby powstrzymać inne firmy od naruszania prywatności swoich pracowników Wysiłki kierownictwa mające na celu zrekompensowanie szkód osobom, których dotyczyło naruszenie, i przywrócenie zaufania do firmy jako do pracodawcy należy postrzegać w sposób zdecydowanie pozytywny. Przejrzysta komunikacja ze strony osób ponoszących odpowiedzialność za to zdarzenie oraz gwarancja rekompensaty finansowej niewątpliwie wskazują na szacunek wobec pracowników i uznanie, na jakie zasługują - powiedział.
Zaskoczenia działaniami firmy nie kryje Agata Kłodzińska, ekspert ds. ochrony danych ODO 24.
- Trzeba przyznać, że dawno nie słyszeliśmy o tak jaskrawym naruszaniu przepisów RODO, które w tak oczywisty sposób pokazuje, że przepisy o ochronie danych osobowych są potrzebne i jakie mogą być skutki braku ich stosowania. W niniejszym stanie faktycznym organ uznał, że doszło do naruszenia przede wszystkim art. 5 i art. 6 RODO, w zakresie braku podstawy prawnej przetwarzania danych osobowych - mówi ekspertka.
Czytaj też: RODO do zmiany. Rzecznik małych i średnich przedsiębiorstw ma propozycje
Jak wylicza, najwyższy wymiar kary przewidziany w RODO (20 mln euro lub 4 proc.) grozi za naruszenie: podstawowych zasad przetwarzania, w tym warunków zgody, o których to zasadach i warunkach mowa w art. 5, 6, 7 oraz 9 RODO; praw osób, których dane dotyczą, o których mowa w art. 12–22 RODO; przekazywania danych osobowych odbiorcy w państwie trzecim lub organizacji międzynarodowej, o którym to przekazywaniu mowa w art. 44-49 RODO; wszelkich obowiązków wynikających z prawa państwa członkowskiego przyjętego na podstawie rozdziału IX; nieprzestrzegania nakazu, tymczasowego lub ostatecznego ograniczenia przetwarzania lub zawieszenia przepływu danych orzeczonego przez organ nadzorczy na podstawie art. 58 ust. 2 lub niezapewnienia dostępu skutkującego naruszeniem art. 58 ust. 1 RODO.
KOMENTARZE (3)