Niemiecki oddział popularnej sieci odzieżowej H&M (H&M Hennes & Mauritz Online Shop A.B. & Co. KG) został ukarany 1 października za zbyt dużą ingerencję jako pracodawca w dane pracowników, w tym te dotyczące ich życia prywatnego. Gigantyczna kara wyniosła ponad 35 milionów euro (32 258 708 euro).
- Niemiecki (a dokładniej hamburski) organ nadzorczy ustalił, że co najmniej od 2014 roku część pracowników H&M poddawana była szczegółowej „obserwacji”, a wnioski poczynione w jej toku utrwalane były w formie notatek na dysku sieciowym. Standardem było, że po nieobecności pracownika w pracy – niezależnie od tego, czy była ona spowodowana urlopem, chorobą itp. – przełożony przeprowadzał z nim tzw. „rozmowę powitalną” - mówi Agata Kłodzińska, ekspert ds. ochrony danych, ODO 24.
Rozmowy nie były jednak koleżeńskie. Faktycznie ich celem było ustalenie i odnotowanie np. w przypadku zwolnienia lekarskiego, objawów danej choroby i wydanej przez specjalistę diagnozy.
Twój szef cię sprawdza, nawet jeśli myślisz, że tak nie jest
Informację na temat życia prywatnego pracowników, ich problemów rodzinnych czy przekonań religijnych, niektórzy przełożeni potrafili zdobywać nawet podczas rozmów towarzyskich na korytarzu. Następnie takie informacje były zapisywane w formie elektronicznej. Dostęp do takich danych mogło mieć nawet 50 osób z kadry kierowniczej.
Notatki o pracownikach były sporządzane z dużą szczegółowością i przechowywane przez bardzo długi czas, co umożliwiało śledzenie rozwoju poszczególnych zagadnień.
- Wyobrażamy sobie, że działało to na zasadzie „czy pracownik, który chodzi na terapię małżeńską w końcu się rozwiedzie, a jeśli tak, to czy wpadnie w depresję i zwróci się do psychologa” itp. Informacje zebrane w ten sposób wykorzystywane były z jednej strony do skrupulatnej oceny wydajności danego pracownika, z drugiej zaś do tworzenia szczegółowego profilu pracownika, przydatnego do podejmowania decyzji dotyczących zatrudnienia (np. czy dana osoba nadaje się na menedżera lub czy może firma powinna się z nią pożegnać, bo jej stan psychiczny nie rokuje zbyt dobrze) – dodaje Agata Kłodzińska.
Wobec zebranych informacji, niemiecki urząd uznał, że doszło do szczególnie poważnego naruszenia praw obywatelskich pracowników H&M.
Warto przeczytać:
Kontrola firmy została zainicjowana dzięki doniesieniom prasowym, kiedy to w październiku 2019 r. z powodu błędu w konfiguracji systemu, zebrane dane stały się dostępne dla wszystkich pracowników H&M. Jak się okazało, wielkość bazy danych wynosiła 60 GB.
Firma przyznał się do popełnionego błędu i zaproponował różne działania naprawcze. Przede wszystkim władze firmy przedstawiły kompleksową koncepcję wdrożenia systemu ochrony danych osobowych w zakładzie w Norymberdze.
9 spraw, które warto przemyśleć zanim zaprosimy szefa do zna...
Kierownictwo firmy nie tylko wyraźnie przeprosiło zainteresowanych, ale również zastosowało się do sugestii, aby wypłacić pracownikom znaczne zadośćuczynienie.
- Trzeba przyznać, że dawno nie słyszeliśmy o tak jaskrawym naruszaniu przepisów RODO, które w tak oczywisty sposób pokazuje, że przepisy o ochronie danych osobowych są potrzebne i jakie mogą być skutki braku ich stosowania. W niniejszym stanie faktycznym organ uznał, że doszło do naruszenia przede wszystkim art. 5 i art. 6 RODO, w zakresie braku podstawy prawnej przetwarzania danych osobowych - podsumowuje Agata Kłodzińska, ekspert ds. ochrony danych, ODO 24.
Najwyższy wymiar kary przewidziany w RODO (20 mln euro lub 4% całkowitego obrotu) grozi za naruszenie:
- podstawowych zasad przetwarzania, w tym warunków zgody, o których to zasadach i warunkach mowa w art. 5, 6, 7 oraz 9 RODO;
- praw osób, których dane dotyczą, o których mowa w art. 12–22 RODO;
- przekazywania danych osobowych odbiorcy w państwie trzecim lub organizacji międzynarodowej, o którym to przekazywaniu mowa w art. 44–49 RODO;
- wszelkich obowiązków wynikających z prawa państwa członkowskiego przyjętego na podstawie rozdziału IX;
- nieprzestrzegania nakazu, tymczasowego lub ostatecznego ograniczenia przetwarzania lub zawieszenia przepływu danych orzeczonego przez organ nadzorczy na podstawie art. 58 ust. 2 lub niezapewnienia dostępu skutkującego naruszeniem art. 58 ust. 1 RODO.
