28.10.2020

RODO – 35 mln EUR kary dla H&M

Dnia 1.10.2020 roku szwedzkie przedsiębiorstwo odzieżowe H&M (Hennes & Mauritz Online Shop A.B. & Co KG), z siedzibą w Sztokholmie, zostało ukarane karą wysokości 35 mln euro za naruszenie przepisów RODO w zakresie danych osobowych pracowników.

Nie jest to pierwszy przypadek kary za naruszenie przepisów o ochronie danych osobowych wśród korporacji międzynarodowych, wcześniej kary dotknęły już takie podmioty jak Google Inc. (50 mln euro), British Airways (204,6 mln euro), Marriot International, Inc (110.390.200 euro) i operatora komunikacyjnego TIM (27,8 euro).

Czego dotyczyło naruszenie?

Sprawa dotyczyła pracowników oddziału H&M Service Center w Norymberdze. Hamburski organ nadzorczy dowiedział się, że co najmniej od 2014 roku część pracowników firmy była w sposób szczegółowy obserwowana, a wnioski z tychże obserwacji były przetrzymywane na dysku sieciowym w formie notatek przez bardzo długi czas, przez co poszczególne wątki dotyczące danych osobowych poszczególnych pracowników były szeroko rozwijane. Gromadzone były zarówno informacje płynące przykładowo z tzw. „rozmów powitalnych” – np. w przypadku urlopu chorobowego, ustalenie (i odnotowanie) objawów danej choroby i wydanej przez lekarzy diagnozy, jak i informacje o życiu prywatnym czy przekonaniach religijnych pracowników.

Dane były następnie wykorzystywane przez kierownictwo H&M do tworzenia szczegółowego profilu danego pracownika oraz dokonywania oceny jego wydajności, co w konsekwencji miało wpływ na poszczególne decyzje odnoszące się do kwestii zatrudnienia – dane wykorzystywano na przykład przy podejmowaniu decyzji czy dany pracownik jest osobą, która powinna zostać menagerem firmy, czy może powinien zostać zwolniony ze względu na zauważone i odnotowane problemy psychiczne.

W październiku 2019 roku wszystkie wyżej opisane gromadzone informacje dotyczące pracowników spółki ujrzały światło dzienne w wyniku awarii systemu informatycznego, stały się tym samym w jednej chwili dostępne dla wszystkich pracowników H&M.

Konsekwencje naruszenia

Na firmę H&M w związku z zaistniałą sytuacją naruszenia przepisów dotyczących ochrony danych osobowych, w szczególności art. 5 i 6 RODO, nałożono karę pieniężną, która odpowiada wysokości do 4% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego firmy.

Jak wskazał hamburski komisarz ds. ochrony danych i wolności informacji, prof. Johannes Caspar „Ta sprawa dotyczy poważnego naruszenia ochrony danych osobowych w norymberskiej lokalizacji H&M. Wysokość nałożonej kary jest zatem odpowiednia i mam nadzieję, że okaże się skuteczna, aby powstrzymać inne firmy od naruszania prywatności swoich pracowników.”

H&M przyznał się do zarzucanych naruszeń oraz wdrożył działania naprawcze. Władze firmy przedstawiły kompleksową koncepcję wdrożenia systemu ochrony danych osobowych w Norymberskim oddziale firmy. Kierownictwo wyraźnie przeprosiło osoby, których naruszenia dotyczyły oraz zastosowało się do sugestii, aby wypłacić pracownikom znaczne zadośćuczynienie.

Sprawa zdecydowanie obrazuje jak ważne i potrzebne okazują się przepisy o ochronie danych osobowych, ale przypomina również jak poważne mogą być konsekwencję naruszenia tych przepisów. To kolejna przypomnienie o tym aby zbudować w firmie system compliance od podstaw. Przypominamy, że Kancelaria oferuje kompleksowe wsparcie w zakresie wdrażania systemu ochrony danych osobowych w przedsiębiorstwach różnej wielkości.