Hamburski organ właściwy do spraw ochrony danych osobowych (Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit) poinformował w zeszły czwartek, że nałożył na szwedzki koncern Hennes & Mauritz AB (w obrocie rozpoznawalny bardziej pod skrótową nazwą H&M) gigantyczną karę, w wysokości aż 35 258 707 euro (prawie 160 milionów złotych).
Regulator zarzucił H&M poważne naruszenia przepisów RODO w związku z przetwarzaniem danych pracowników norymberskiej placówki H&M (placówka zatrudnia kilkaset osób). Decyzja nie jest prawomocna. H&M ma dwa tygodnie na odwołanie się od niej do sądu w Hamburgu.
Jest to najwyższa kara finansowa nałożona przez niemieckie organy nadzorcze na podstawie przepisów RODO, a jednocześnie jedna z najwyższych w Europie od momentu rozpoczęcia obowiązywania nowych unijnych przepisów o ochronie danych osobowych.
Niepokojące doniesienia prasowe
Niemiecka prasa już w styczniu br. informowała, że placówka H&M z siedzibą w Norymberdze pozyskiwała od swoich pracowników liczne dane osobowe (w tym dane szczególnej kategorii – tj. tzw. dane wrażliwe) dotyczące m.in. sytuacji rodzinnej, otoczenia społecznego, stanu zdrowia (od przeziębień, poprzez informacje o cyklach menstruacyjnych pracownic, po choroby onkologiczne), czy też np. doświadczeń wakacyjnych.
Dane osobowe załogi pozyskiwane miały być przez menedżerów potentata poprzez regularne prowadzenie z pracownikami luźnych – wręcz półprywatnych – rozmów. Wbrew wiedzy
i woli podwładnych, informacje te były skrzętnie dokumentowane, a następnie udostępniane wszystkim pracownikom na szczeblu menedżerskim. Mowa tutaj o ogromnej ilości informacji. Zawartość twardego dysku zajmować miała około sześćdziesięciu gigabajtów. Co najbardziej szokujące, informacje te prawdopodobnie wykorzystywane były przez kadrę zarządzającą przy podejmowaniu decyzji o przedłużeniu bądź odmowie przedłużenia umowy o pracę.
Praktyki odzieżowego giganta wyszły na jaw po tym, jak jeden z przełożonych omyłkowo (to może być bardzo droga pomyłka) zamieścił notatki z przeprowadzonego wywiadu na ogólnie dostępnym folderze na dysku. Na skutek tej pomyłki wszyscy mogli zapoznać się z najbardziej wrażliwymi informacjami na temat poszczególnych pracowników norymberskiej placówki H&M.
Zarząd szwedzkiego potentata poinformował następnie pracowników o wykrytym procederze. Zabezpieczył pliki zawierające ogromną ilość informacji dotyczących kadry, jak również zawiadomił hamburski organ nadzorczy, który wszczął postępowanie w tej sprawie. Gigant miał przyznać wprost, że działania kadry menedżerskiej były niedopuszczalne. Zapewnił on także, że będzie współpracować z regulatorem, celem jak najsprawniejszego rozwiązania tej sprawy.
Ustalenia organu nadzorczego i surowa kara
Jak wynika z informacji przekazanych przez niemieckiego regulatora, postępowanie w tej sprawie dotyczyło naruszenia prawa do ochrony danych osobowych oraz prywatności kilkuset pracowników centrum usług H&M w Norymberdze. Nieprawidłowe praktyki stosowane były wobec pracowników giganta co najmniej od 2014 r., tj. przez 6 lat. Organ nadzorczy potwierdził w toku postępowania, że osoby zajmujące kierownicze stanowiska w norymberskiej placówce spółki regularnie pozyskiwały szereg informacji o życiu prywatnym swoich pracowników, w tym o ich problemach rodzinnych, stanie zdrowia, czy też przekonaniach religijnych. Dane te pozyskiwane były de facto w sposób podstępny. Kadra kierownicza prowadziła bowiem z pracownikami nieformalne – półprywatne – rozmowy, podczas których skrzętnie wyciągała interesujące ją informacje o zatrudnionych osobach. Co ciekawe, wszelkie uzyskane w ten sposób informacje były dokumentowane, katalogowane, a następnie przekazywane wszystkim osobom zatrudnionym w norymberskiej placówce H&M na szczeblu menadżerskim. Najprawdopodobniej, wiedza ta służyła kadrze zarządzającej przy podejmowaniu decyzji o przedłużeniu bądź odmowie przedłużenia umowy o pracę.
Niemiecki organ nadzorczy podkreślił, że zachowanie pracodawcy w tej sprawie charakteryzowało się wyjątkowym lekceważeniem ochrony danych osobowych pracowników. Wskazał, że tak wysoka administracyjna kara pieniężna ma na celu m.in. zniechęcenie innych administratorów do stosowania wszelkiego typu niedozwolonych praktyk w zakresie nadzoru pracowników.
Reakcja H&M
Szwedzka spółka wydała oświadczenie, w którym odniosła się do zarzutów kierowanych w jej stronę. Potwierdziła, że stwierdzone naruszenia miały miejsce, zaś praktyki w zakresie przetwarzania danych osobowych pracowników nie były w żadnym razie zgodne z wytycznymi w tym zakresie. Gigant wziął jednak na siebie pełną odpowiedzialność za zdarzenie i przeprosił pracowników norymberskiej placówki H&M.
Spółka zapewniła, że dokonała zmian kadry kierowniczej w feralnej placówce oraz przeprowadziła dodatkowe szkolenia dla liderów w zakresie prawa ochrony danych i prawa pracy. Uruchomiła także kompleksowy plan działań w celu ulepszenia praktyk audytu wewnętrznego, aby zapewnić pełną zgodność z przepisami dotyczącymi ochrony prywatności i prawa do ochrony danych osobowych. Plan ten zakłada m.in. nowe instrukcje menedżerskie oraz monitorowanie procesów przetwarzania danych osobowych.
Pomimo wyjątkowo surowej kary pieniężnej, gigant zobowiązał się dodatkowo wypłacić rekompensaty finansowe wszystkim pracownikom, którzy byli zatrudnieni we wskazanym oddziale H&M od maja 2018 r. (data ta nie wydaje się przypadkowa, biorąc pod uwagę, że od maja 2018 r. stosujemy RODO). Zobowiązanie to spotkało się z zadowoleniem niemieckiego regulatora. Dokładne kwoty tych rekompensat nie zostały jednak upublicznione.
Kara z górnej półki
Zgodnie z RODO, organ może nałożyć karę w wysokości do 20 000 000 euro – a w przypadku przedsiębiorstwa – w wysokości do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego. W niniejszej sprawie niemiecki organ nadzorczy zdecydował się na karę w górnej granicy, co nie dziwi, biorąc pod uwagę skalę naruszenia, jego charakter, umyślne działanie oraz fakt, że sprawa dotyczy najbardziej wrażliwych informacji o pracownikach niemieckiej placówki H&M.
Ujawnione praktyki spółki są absolutnie niedopuszczalne w świetle przepisów o ochronie danych osobowych. Niezmiernie dziwi fakt, że sprawa dotyczy oddziału globalnej spółki, od której wymagać można najwyższych standardów w zakresie ochrony danych osobowych oraz prywatności. Wydaje się, że kara ta może skutecznie podziałać na wyobraźnię administratorów, zarówno tych największych, jak i tych drobnych.
Czego uczy ta kara?
Nałożona kara jest ciekawa z wielu powodów. Oto firma szwedzka (jak wiadomo Szwedzi uchodzą za legalistów przestrzegających procedur) działając w Niemczech (kraju bardzo wysokiej kultury prawnej) dopuszcza się tak drastycznego nadużycia. Organ reagując na nie nakłada karę przekraczającą granicę 20 mln Euro i sięga po możliwość naliczania w oparciu o 4% obrotu światowego. Kara jest najwyższą z kar nałożonych w Niemczech. Dodatkowo po wykryciu tego nielegalnego procederu, H&M zdecydowała się na wypłacenie odszkodowań, ponosząc odpowiedzialność za niewłaściwą praktykę swojej kadry zarządzającej. Od dawna mówimy w naszych publikacjach, że dane kadrowe to bardzo wrażliwy obszar, gdzie dochodzi do przetwarzania ogromniej ilości danych i bardzo wrażliwych danych. Trzeba mieć zatem na uwadze procedury, wymagania RODO no i oczywiście zdrowy rozsądek, bo działy kadr to w zasadzie kluczowe działy w każdej organizacji.
Źródła:
https://www.internetworld.de/e-commerce/h-m/dsgvo-verstoss-h-m-droht-hohes-bussgeld-2460159.html
https://datenschutz-hamburg.de/assets/pdf/2020-10-01-press-release-h+m-fine.pdf
