Kosztowne dane osobowe – gdy środki naprawcze nie wystarczą

Nie ulega wątpliwości, że żyjemy w społeczeństwie informacyjnym, gdzie coraz większą wartość mają dane. Szczególnie te osobowe. Organy nadzoru zdają sobie z tego sprawę i naruszenia RODO są często źródłem dotkliwych kar. A RODO daje organom do ręki całkiem silny oręż. Administracyjna kara pieniężna jaka grozi za naruszenie kluczowych przepisów RODO może sięgać nawet 20 mln euro, a dla przedsiębiorców nawet do 4 proc. całkowitego rocznego światowego obrotu. Tym razem na celownik wzięto niemiecką spółkę H&M. Werdykt? Ponad 35 mln euro kary. Mimo pełnej współpracy i wdrożenia szerokich środków naprawczych.

Sprawa dotyczy norymberskiego H&M, który od 2014 r. poddawał część swoich pracowników wnikliwej obserwacji, zapisując uzyskane informacje i spostrzeżenia na udostępnianym kadrze zarządzającej dysku sieciowym. Podzieliłeś się informacjami o rozpadzie Twojego związku? Zapisano. Wziąłeś wakacje, ponieważ czujesz się przemęczony? Odnotowano. Masz określone poglądy polityczne lub religijne? Utrwalono. Uzyskane dane służyły potem do oceny wydajności oraz perspektyw rozwoju przyszłej kariery danego pracownika. Lub ich braku.

Sprawa wyszła na jaw za sprawą błędu w konfiguracji systemu w 2019 r. Za sprawą doniesień prasowych dotarła do hamburskiego organu nadzoru, który szybko nakazał przekazanie zawartości dysku. Choć H&M przeprosił i przyznał się do nieprawidłowości, w pełni współpracował z organem, wdrożył system ochrony danych osobowych oraz wypłacił zadośćuczynienia pracownikom, to kara przekraczająca barierę 20 mln euro robi wrażenie. I mimo, że – jak stwierdził hamburski Komisarz ds. ochrony danych i wolności informacji – wysiłki spółki do wdrożenia środków naprawczych zasługują na szacunek, to wysokość kary ma także „powstrzymać inne firmy od naruszania prywatności swoich pracowników”.

Od zawsze potarzamy – czy to w ramach szkoleń związanych z postępowaniami na wypadek kontroli,
czy w ramach audytów – że współpracowanie z organami oraz wdrożenie środków naprawczych może tylko polepszyć sytuację organizacji. Prawdziwym sensem Compliance jest jednak zapobieganie. Bycie barierką na szczycie skarpy, a nie karetką na dole. Niech zatem przykład H&M służy nam jako lekcja, by na dane uważać. Naszym zdaniem najlepiej robić to systemowo. Systemy ochrony danych osobowych i pozycja Inspektora Ochrony Danych w organizacji stają się zatem nieodłącznymi elementami Systemów Zarządzania Zgodnością (z ang. Compliance Management System, CMS). Szczególnie, że w dobie przyspieszającej
w czasach pandemii informatyzacji, przetwarzamy coraz większą ilość danych osobowych. Za każdym razem warto pomyśleć, czy mamy ku temu podstawy i czy robimy to w dozwolony prawem sposób.

Nie warto bowiem dołączać do powiększającego się grona ukaranych. TIM (27 mln kary), Google (50 mln euro kary), Marriott International (110 mln euro kary), British Airways (204 mln euro kary) – jak widać branża w jakiej działamy nie ma w tym wypadku znaczenia. Zapobiegajmy zamiast leczyć.

 

 

Źródło: https://forsal-pl.cdn.ampproject.org/c/s/forsal.pl/biznes/handel/artykuly/7838411,kara-hm-inwigilacja-pracownikow-35-mln-euro-rodo.html.amp

dr Anna Partyka-Opiela

dr Anna Partyka-Opiela
Radca Prawny, Partner

anna.partyka-opiela@dzp.pl

Jan Bednarski

Jan Bednarski


jan.bednarski@dzp.pl

Komentarze

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *