1 października 2020 r. organ nadzorczy ds. ochrony danych osobowych w Hamburgu poinformował o nałożeniu kary pieniężnej na spółkę H&M Hennes & Mauritz Online Shop A.B. & Co KG, czyli jedną ze spółek znanej sieci odzieżowej H&M. Jest to najwyższa kara nałożona dotąd przez organy nadzorcze w Niemczech i wyniosła ponad 35 mln euro.
Stan faktyczny
Niemiecki organ nadzorczy ustalił, że ukarana spółka od co najmniej 2014 roku zbierała dane dotyczące prywatnego życia swoich pracowników, nie mając do tego podstawy prawnej. Dane te dotyczyły informacji na temat dużej liczby zatrudnionych osób, w tym sposobów spędzania przez nie wakacji, a także innych nieobecności w pracy oraz stanu zdrowia, problemów rodzinnych czy przekonań religijnych. Kiedy pracownicy wracali do pracy po dłuższej nieobecności, ich przełożeni przeprowadzali rozmowy dotyczące przyczyny nieobecności (tzw. Welcome Talks). Niektóre z uzyskanych w ten sposób informacji były następnie zapisywane na serwerach spółki, a dostęp do nich mieli – poza przełożonym prowadzącym rozmowę – inni menedżerowie.
Postępowanie organu nadzorczego
Sprawa wyszła na jaw w październiku 2019 r., kiedy ze względu na błąd w konfiguracji serwera dane stały się dostępne w wewnętrznej sieci dla większej liczby pracowników. W ramach obrony spółka przeprosiła swoich pracowników oraz wypłaciła im odszkodowania. Ponadto wdrożone zostały dodatkowe środki mające poprawić standard ochrony danych w przyszłości.
Podjęte działania nie uchroniły jednak spółki przed nałożeniem administracyjnej kary pieniężnej. Z pewnością przemawiały za tym umyślny charakter i czas trwania naruszenia, jak również waga przetwarzanych danych. Zgodnie z RODO, kary pieniężne mają również działać odstraszająco i wydaje się, że ta funkcja w tym przypadku miała duże znaczenie.
Przetwarzanie danych przez pracodawcę
Warto pamiętać, że zakres danych osobowych pracowników, które mogą być przetwarzane przez pracodawcę jest ograniczony (zasada minimalizacji danych), a pracodawca zawsze musi mieć do tego stosowną podstawę prawną (zasada zgodności z prawem).
Specyfika zarządzania organizacją, zwłaszcza w ramach funkcjonowaniu działu HR, wymaga przetwarzania szerokiego zakresu informacji oraz danych osobowych pracowników. RODO nie stoi temu na przeszkodzie, ale ustanawia ramy, w których przetwarzanie danych jest dopuszczalne. W praktyce przełożeni stają przed dylematem, co faktycznie uznaje się za dane osobowe – definicja ustawowa jest bowiem bardzo szeroka (wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej). Skoro więc przetwarzanie znacznej ilości danych w ramach zarządzania zasobami ludzkimi jest nieuniknione i służy – co do zasady – zapewnieniu prawidłowego funkcjonowania organizacji, czy każda informacja o pracowniku może zostać zebrana przez pracodawcę? Na pewno nie. Dla przykładu – prawidłowo przeprowadzone oceny pracownicze nie budzą wątpliwości co do ich zgodności z prawem. Podstawą przetwarzania danych w tym przypadku jest niezbędność do realizacji prawnie uzasadnionego interesu pracodawcy (zarządzanie i prawidłowe funkcjonowanie organizacji, polityka kadrowa obejmująca m.in. systemy wynagradzania, promocji, rozwoju pracowników). Należy jednak pamiętać, że interesy pracodawcy muszą być niejako nadrzędne wobec praw i wolności osób fizycznych (pracowników). Innymi słowy, przetwarzanie określonych danych będzie dopuszczalne, gdy – z obiektywnego punktu widzenia – interesy administratora będą od nich „ważniejsze”. Prawidłowa ocena w tym zakresie wymaga odpowiedniego wyczucia, a w niektórych sytuacjach, przeprowadzenia tzw. testu równowagi, który powinien dać odpowiedź na pytanie, czy dana operacja jest zgodna z prawem i umożliwić wykazanie tego właściwym organom.
W żadnym wypadku pracodawca nie jest zwolniony od konieczności zachowania zgodności z ogólnymi zasadami przetwarzania danych, w tym wspomnianej już zasady minimalizacji danych. Każdy administrator danych powinien przetwarzać bowiem tylko takie dane, jakie są do osiągnięcia konkretnego celu niezbędne.
W niektórych przypadkach dopuszczalne jest przetwarzanie przez pracodawcę nawet danych szczególnych kategorii. Pracodawcy są zobowiązani m.in. do przetwarzania informacji o stanie zdrowia pracownika w postaci jego zdolności do pracy (ale już nie do wglądu do szczegółowych wyników badań). Innym przykładem może być przetwarzanie danych o przekonaniach religijnych, gdy pracownik zawnioskuje o udzielenia mu zwolnienia od pracy w dzień święta religijnego przypadającego w dzień niebędący ustawowo wolnym od pracy (pod warunkiem, że pracownik sam udzielił tej informacji, pracodawca nie może o to zapytać). Dane te mogą być przetwarzanie jednak tylko w takim celu, do jakiego zostały zebrane.
Poza rzadkimi wyjątkami do przetwarzania danych nie powinno dochodzić na podstawie zgody pracownika. Zgoda w rozumieniu RODO musi spełniać cechę dobrowolności rozumianej jako pełna swoboda jej wyrażenia. W relacjach pracodawca-pracownik, zachowanie tej dobrowolności jest najczęściej utrudnione, a w takiej sytuacji zgodę uznaje się za nieważną.
Odpowiednie procedury
Co zatem można zrobić, aby zapewnić właściwą ochronę danych osobowych w firmie? Przede wszystkim zadbać o odpowiednie procedury. Każdy menedżer czy przełożony, który gromadzi dane osobowe pracowników, musi mieć świadomość „wrażliwości” tych danych i tego, że występuje jako przedstawiciel pracodawcy. Tym samym powinien dysponować wiedzą na temat odpowiedniej komunikacji, w tym prawnych aspektów zbierania danych osobowych i wykorzystywania informacji o pracownikach, a także zostać odpowiednio przeszkolony.
Ochrona danych osobowych jako element szeroko pojętego compliance (zapewnienie zgodności działań firmy z przepisami i normami) powinna zostać w organizacji odpowiednio zaprojektowana. Przed zebraniem danych osobowych zawsze należy zastanowić się, czy ich przetwarzanie będzie zgodne z prawem. Z kolei nawet najlepsze procedury czy polityki, o ile nie są rewidowane w praktyce, mogą nie przynieść oczekiwanych rezultatów. Należy zatem pamiętać o regularnym szkoleniu pracowników w zakresie ochrony prywatności w miejscu pracy i legalnego przetwarzania danych. Takie szkolenia pozwalają na zmniejszenie ryzyka złamania przepisów. Wiedza przełożonych na temat zasad profesjonalnego prowadzenia komunikacji z pracownikiem z pewnością przyczyni się do zmniejszenia ryzyka wypłaty odszkodowań za niezgodne z prawem przetwarzanie danych osobowych, czy konieczności zapłaty kary – jak to miało miejsce w przypadku Service Center H&M w Niemczech.
Źródło: datenschutz-hamburg.de
AUTORZY:
Magdalena Patryas – partner w Kancelarii Andersen w Polsce
Paweł Grzembka – starszy prawnik w Kancelarii Andersen w Polsce