Komisarz ds. ochrony danych osobowych i wolności informacji w Hamburgu (the Hamburg Commissioner for Data Protection and Freedom of Information) nałożył grzywnę w wysokości ponad 35 mln euro na szwedzką sieć odzieżową H&M (Hennes & Mauritz Online Shop A.B. & Co KG). Powodem nałożenia (jednej z najwyższych, jak do tej pory) kary było naruszenie RODO.
Stan faktyczny:
Co najmniej od roku 2014 część pracowników H&M Service Center w Norymberdze było inwigilowanych pod kątem ich życia prywatnego, a następnie te dane były utrwalane i przechowywane na dyskach wewnętrznych spółki.
Spółka rejestrowała wiele informacji na temat swoich pracowników dotyczących urlopów, zwolnień lekarskich, sytuacji rodzinnej, czy też kwestii związanych z przekonaniami religijnymi. Dane były zbierane podczas rozmów z pracownikami przeprowadzanych np. zaraz po powrocie do pracy po urlopie, ale także podczas zwykłych rozmów towarzyskich z przełożonymi. Kadra kierownicza wykorzystywała informacje do profilowania pracowników, a na tej podstawie prowadzono ich ocenę. Dane mogły prawdopodobnie służyć do oceny czy dany pracownik będzie odpowiedni do objęcia wyższego stanowiska, czy jego sytuacja rodzinna lub wyznanie może wpłynąć na jego wydajność w danym okresie itp.
Sprawa ujrzała światło codziennie w momencie awarii systemów komputerowych. W toku postępowania okazało się, że spółka zebrała dane o pracownikach o objętości 60 GB.
RODO:
W niniejszej sprawie organ uznał, że doszło w szczególności do naruszenia art. 5 i 6 RODO. Zgodnie z art. 5 ust. 1 RODO dane osobowe muszą być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą. Zgodnie zaś z treścią art. 6 RODO, aby przetwarzanie danych osobowych było zgodne z prawem musi być spełniony co najmniej jeden z wymienionych w przepisie warunków m.in. warunek wyrażenia zgody przez osobę, której dane dotyczą.
Wysokość administracyjnej kary pieniężnej:
Wysokość nałożonej kary uwarunkowana jest indywidualną oceną konkretnej sprawy. Organ nadzorczy poddając analizie daną sprawę musi brać pod uwagę szereg istotnych kwestii, które wpływają na wysokość kary m.in.: charakter, waga, czas trwania danego naruszenia, kategorie danych osobowych, to czy administrator pozyskując dane działania działał umyślnie itp.
W przedmiotowej sprawie organ nadzorczy nałożył na H&M karę pieniężną, która odpowiada wysokości do 4% jej całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.
Brak komentarzy