Mimo że RODO wprost przewiduje, że administracyjna kara pieniężna, która grozi za naruszenie kluczowych przepisów RODO może sięgać 20 000 000 euro, a w przypadku przedsiębiorstwa nawet 4% jego całkowitego rocznego światowego obrotu, to kary przekraczające ten magiczny pułap 20 milionów zawsze szokują. Od maja 2018 roku zostały takie kary nałożone w sumie cztery, kolejno na: Google Inc. (50 mln euro), British Airways (204,600,000 euro), Marriot International, Inc (110,390,200 euro), operatora komunikacyjnego TIM (27,800,000 euro).
Do grona nieszczęśników 1 października 2020 roku dołączyła niemiecka spółka H&M Hennes & Mauritz Online Shop A.B. & Co. KG (dalej: „H&M”) z niebagatelną sumą 35,258,708 euro. Głównym powodem nałożenia kary była zbyt duża ingerencja H&M jako pracodawcy w dane pracowników, w tym te dotyczące ich życia prywatnego - komentuje Agata Kłodzińska, ekspert ds. ochrony danych, ODO 24.
Stan faktyczny
Niemiecki (a dokładniej hamburski) organ nadzorczy ustalił, że co najmniej od 2014 roku część pracowników H&M poddawana była szczegółowej „obserwacji”, a wnioski poczynione w jej toku utrwalane były w formie notatek na dysku sieciowym. Standardem było, że po nieobecności pracownika w pracy – niezależnie od tego, czy była ona spowodowana urlopem, chorobą itp. – przełożony przeprowadzał z nim tzw. „rozmowę powitalną”. Brzmi sympatycznie, natomiast celem tych rozmów była nie tyle koleżeńska wymiana wrażeń z wakacji, ale również, np. w przypadku urlopu chorobowego, ustalenie (i odnotowanie) objawów danej choroby i wydanej przez lekarzy diagnozy. Co ciekawe (i niepokojące), niektórzy przełożeni zdobywali nawet szczegółową wiedzę na temat życia prywatnego pracowników podczas zwykłych rozmów towarzyskich na korytarzu – nierzadko dotyczącą problemów rodzinnych czy przekonań religijnych – i utrwalali zebrane informacje w formie elektronicznej. Szacuje się, że dostęp do tak zebranych informacji mogło mieć nawet 50 osób z kadry kierowniczej firmy.
Należy podkreślić, że takie „notatki” o pracownikach były sporządzane z dużą szczegółowością i przechowywane przez bardzo długi czas, co umożliwiało śledzenie rozwoju poszczególnych zagadnień (wyobrażamy sobie, że działało to na zasadzie „czy pracownik, który chodzi na terapię małżeńską w końcu się rozwiedzie, a jeśli tak, to czy wpadnie w depresję i zwróci się do psychologa” itp.). Informacje zebrane w ten sposób wykorzystywane były z jednej strony do skrupulatnej oceny wydajności danego pracownika, z drugiej zaś do tworzenia szczegółowego profilu pracownika, przydatnego do podejmowania decyzji dotyczących zatrudnienia (np. czy dana osoba nadaje się na menedżera lub czy może firma powinna się z nią pożegnać, bo jej stan psychiczny nie rokuje zbyt dobrze).
Organ nadzorczy uznał (i trudno z tym polemizować), że doszło do szczególnie poważnego naruszenia praw obywatelskich pracowników H&M.
Jak sprawa ujrzała światło dzienne?
W październiku 2019 roku z powodu błędu w konfiguracji systemu te wszystkie dane stały się dostępne dla wszystkich pracowników H&M. Hamburski organ nadzorczy powziął informację na temat procederu dzięki doniesieniom prasowym – zareagował natychmiast i najpierw nakazał „zamrożenie” zawartości dysku sieciowego, a następnie zażądał jego przekazania. Firma grzecznie podporządkowała się instrukcjom organu i przedłożyła do oceny bazę danych o wielkości około… 60 GB. Przesłuchania licznych świadków potwierdziły wnioski płynące z analizy przekazanych danych.
O ile cała historia brzmi jak rodem z książki lub filmu, H&M przyznał się do popełnionego błędu i zaproponował różne działania naprawcze. Przede wszystkim władze firmy przedstawiły kompleksową koncepcję wdrożenia systemu ochrony danych osobowych w zakładzie w Norymberdze. Kierownictwo firmy nie tylko wyraźnie przeprosiło zainteresowanych, ale również zastosowało się do sugestii, aby wypłacić pracownikom znaczne zadośćuczynienie. Co więcej, H&M powołał koordynatora ds. ochrony danych, status ochrony danych w organizacji jest poddawany comiesięcznym aktualizacjom, został wdrożony w miarę efektywny system obsługi naruszeń ochrony danych osobowych oraz sprawna procedura postępowania z żądaniami osób, których dane dotyczą.
Komentarz niemieckiego organu nadzorczego
Do sprawy odniósł się również hamburski organ nadzorczy, Komisarz ds. ochrony danych i wolności informacji, prof. Johannes Caspar, który stwierdził, że „ta sprawa dotyczy poważnego naruszenia ochrony danych osobowych w norymberskiej lokalizacji H&M. Wysokość nałożonej kary jest zatem odpowiednia i mam nadzieję, że okaże się skuteczna, aby powstrzymać inne firmy od naruszania prywatności swoich pracowników. Wysiłki kierownictwa mające na celu zrekompensowanie szkód osobom, których dotyczyło naruszenie, i przywrócenie zaufania do firmy jako do pracodawcy należy postrzegać w sposób zdecydowanie pozytywny. Przejrzysta komunikacja ze strony osób ponoszących odpowiedzialność za to zdarzenie oraz gwarancja rekompensaty finansowej niewątpliwie wskazują na szacunek wobec pracowników i uznanie, na jakie zasługują”.
Podsumowanie
Trzeba przyznać, że dawno nie słyszeliśmy o tak jaskrawym naruszaniu przepisów RODO, które w tak oczywisty sposób pokazuje, że przepisy o ochronie danych osobowych są potrzebne i jakie mogą być skutki braku ich stosowania. W niniejszym stanie faktycznym organ uznał, że doszło do naruszenia przede wszystkim art. 5 i art. 6 RODO, w zakresie braku podstawy prawnej przetwarzania danych osobowych. Przypominamy, że najwyższy wymiar kary przewidziany w RODO (20 mln euro lub 4% ) grozi za naruszenie: podstawowych zasad przetwarzania, w tym warunków zgody, o których to zasadach i warunkach mowa w art. 5, 6, 7 oraz 9 RODO; praw osób, których dane dotyczą, o których mowa w art. 12–22 RODO; przekazywania danych osobowych odbiorcy w państwie trzecim lub organizacji międzynarodowej, o którym to przekazywaniu mowa w art. 44–49 RODO; wszelkich obowiązków wynikających z prawa państwa członkowskiego przyjętego na podstawie rozdziału IX; nieprzestrzegania nakazu, tymczasowego lub ostatecznego ograniczenia przetwarzania lub zawieszenia przepływu danych orzeczonego przez organ nadzorczy na podstawie art. 58 ust. 2 lub niezapewnienia dostępu skutkującego naruszeniem art. 58 ust. 1 RODO.
