35 milionów euro kary dla H&M za inwigilację

Niemiecki organ nadzorczy ustalił, że co najmniej od 2014 roku część pracowników H&M poddawana była szczegółowej „obserwacji”, a wnioski utrwalane były w formie notatek na dysku sieciowym.

Agata Kłodzińska, ekspert ds. ochrony danych, ODO 24

Fot. Materiały prasowe

Mimo że RODO wprost przewiduje, że administracyjna kara pieniężna, która grozi za naruszenie kluczowych przepisów RODO może sięgać 20 000 000 euro, a w przypadku przedsiębiorstwa nawet 4 proc. jego całkowitego rocznego światowego obrotu, to kary przekraczające ten magiczny pułap 20 milionów zawsze szokują. Od maja 2018 roku zostały takie kary nałożone w sumie cztery, kolejno na: Google Inc. (50 mln euro), British Airways (204,600,000 euro), Marriot International, Inc (110,390,200 euro), operatora komunikacyjnego TIM (27,800,000 euro).

Do grona nieszczęśników 1 października 2020 roku dołączyła niemiecka spółka H&M Hennes & Mauritz Online Shop A.B. & Co. KG (dalej: „H&M”) z niebagatelną sumą 35,258,708 euro. Głównym powodem nałożenia kary była zbyt duża ingerencja H&M jako pracodawcy w dane pracowników, w tym te dotyczące ich życia prywatnego.

Niemiecki (a dokładniej hamburski) organ nadzorczy ustalił, że co najmniej od 2014 roku część pracowników H&M poddawana była szczegółowej „obserwacji”, a wnioski poczynione w jej toku utrwalane były w formie notatek na dysku sieciowym. Standardem było, że po nieobecności pracownika w pracy – niezależnie od tego, czy była ona spowodowana urlopem, chorobą itp. – przełożony przeprowadzał z nim tzw. „rozmowę powitalną”. Brzmi sympatycznie, natomiast celem tych rozmów była nie tyle koleżeńska wymiana wrażeń z wakacji, ale również, np. w przypadku urlopu chorobowego, ustalenie (i odnotowanie) objawów danej choroby i wydanej przez lekarzy diagnozy.

Co ciekawe i niepokojące, niektórzy przełożeni zdobywali nawet szczegółową wiedzę na temat życia prywatnego pracowników podczas zwykłych rozmów towarzyskich na korytarzu – nierzadko dotyczącą problemów rodzinnych czy przekonań religijnych – i utrwalali zebrane informacje w formie elektronicznej. Szacuje się, że dostęp do tak zebranych informacji mogło mieć nawet 50 osób z kadry kierowniczej firmy.

Należy podkreślić, że takie „notatki” o pracownikach były sporządzane z dużą szczegółowością i przechowywane przez bardzo długi czas, co umożliwiało śledzenie rozwoju poszczególnych zagadnień (wyobrażamy sobie, że działało to na zasadzie „czy pracownik, który chodzi na terapię małżeńską w końcu się rozwiedzie, a jeśli tak, to czy wpadnie w depresję i zwróci się do psychologa” itp.). Informacje zebrane w ten sposób wykorzystywane były z jednej strony do skrupulatnej oceny wydajności danego pracownika, z drugiej zaś do tworzenia szczegółowego profilu pracownika, przydatnego do podejmowania decyzji dotyczących zatrudnienia (np. czy dana osoba nadaje się na menedżera lub czy może firma powinna się z nią pożegnać, bo jej stan psychiczny nie rokuje zbyt dobrze).

Organ nadzorczy uznał (i trudno z tym polemizować), że doszło do szczególnie poważnego naruszenia praw obywatelskich pracowników H&M.

W październiku 2019 roku z powodu błędu w konfiguracji systemu te wszystkie dane stały się dostępne dla wszystkich pracowników H&M. Hamburski organ nadzorczy powziął informację na temat procederu dzięki doniesieniom prasowym – zareagował natychmiast i najpierw nakazał „zamrożenie” zawartości dysku sieciowego, a następnie zażądał jego przekazania. Firma grzecznie podporządkowała się instrukcjom organu i przedłożyła do oceny bazę danych o wielkości około… 60 GB. Przesłuchania licznych świadków potwierdziły wnioski płynące z analizy przekazanych danych . O ile cała historia brzmi jak rodem z książki lub filmu, H&M przyznał się do popełnionego błędu i zaproponował różne działania naprawcze. Przede wszystkim władze firmy przedstawiły kompleksową koncepcję wdrożenia systemu ochrony danych osobowych w zakładzie w Norymberdze. Kierownictwo firmy nie tylko wyraźnie przeprosiło zainteresowanych, ale również zastosowało się do sugestii, aby wypłacić pracownikom znaczne zadośćuczynienie. Co więcej, H&M powołał koordynatora ds. ochrony danych, status ochrony danych w organizacji jest poddawany comiesięcznym aktualizacjom, został wdrożony w miarę efektywny system obsługi naruszeń ochrony danych osobowych oraz sprawna procedura postępowania z żądaniami osób, których dane dotyczą.

Do sprawy odniósł się również hamburski organ nadzorczy, Komisarz ds. ochrony danych i wolności informacji, prof. Johannes Caspar, który stwierdził, że „ta sprawa dotyczy poważnego naruszenia ochrony danych osobowych w norymberskiej lokalizacji H&M. Wysokość nałożonej kary jest zatem odpowiednia i mam nadzieję, że okaże się skuteczna, aby powstrzymać inne firmy od naruszania prywatności swoich pracowników. Wysiłki kierownictwa mające na celu zrekompensowanie szkód osobom, których dotyczyło naruszenie, i przywrócenie zaufania do firmy jako do pracodawcy należy postrzegać w sposób zdecydowanie pozytywny. Przejrzysta komunikacja ze strony osób ponoszących odpowiedzialność za to zdarzenie oraz gwarancja rekompensaty finansowej niewątpliwie wskazują na szacunek wobec pracowników i uznanie, na jakie zasługują”.

Trzeba przyznać, że dawno nie słyszeliśmy o tak jaskrawym naruszaniu przepisów RODO, które w tak oczywisty sposób pokazuje, że przepisy o ochronie danych osobowych są potrzebne i jakie mogą być skutki braku ich stosowania.

W niniejszym stanie faktycznym organ uznał, że doszło do naruszenia przede wszystkim art. 5 i art. 6 RODO, w zakresie braku podstawy prawnej przetwarzania danych osobowych. Przypominamy, że najwyższy wymiar kary przewidziany w RODO (20 mln euro lub 4% ) grozi za naruszenie: podstawowych zasad przetwarzania, w tym warunków zgody, o których to zasadach i warunkach mowa w art. 5, 6, 7 oraz 9 RODO; praw osób, których dane dotyczą, o których mowa w art. 12–22 RODO; przekazywania danych osobowych odbiorcy w państwie trzecim lub organizacji międzynarodowej, o którym to przekazywaniu mowa w art. 44–49 RODO; wszelkich obowiązków wynikających z prawa państwa członkowskiego przyjętego na podstawie rozdziału IX; nieprzestrzegania nakazu, tymczasowego lub ostatecznego ograniczenia przetwarzania lub zawieszenia przepływu danych orzeczonego przez organ nadzorczy na podstawie art. 58 ust. 2 lub niezapewnienia dostępu skutkującego naruszeniem art. 58 ust. 1 RODO.