Emilian Kujawski Brak komentarzy

Jak korporacje szanują prywatność pracowników? Jakie szanse obrony przed nadużyciami ma zwykły szary pracownik w starciu z firmą – gigantem?  Cenna lekcja płynie z historii filii H&M w Norymberdze i 35 milionów EUR kary za naruszanie ochrony danych swoich pracowników.

Ile PR w HR?

Cała historia nadaje się na scenariusz do filmu. Jeśli pomyślisz o karierze w H&M, to na stronie internetowej firmy przeczytasz między innymi takie piękne hasła i zachęty:

W H&M możesz być sobą 

W H&M troszczymy się o naszych pracowników. Chcemy, żebyś czuł się u nas doceniony i dobrze traktowany.

Uważamy, że informacja zwrotna i ocena pracy naszych pracowników jest istotna dla ich rozwoju i satysfakcji.

W kontekście praktyk, które ujawniono w niemieckiej spółce H&M Hennes & Mauritz Online Shop A.B. & Co. K, powyższe slogany brzmią jak ponury żart.

Nie ma nic ukrytego, co by nie wyszło na jaw…

W październiku 2019 roku wskutek błędu w konfiguracji wewnętrznego systemu każdy pracownik niemieckiej filii H&M uzyskał dostęp do utajnionej części danych, gdzie znajdował się ogrom informacji o życiu prywatnym pracowników, m.in. o przebytych chorobach, stanie psychicznym, problemach rodzinnych czy przekonaniach religijnych (!). O skali incydentu może świadczyć fakt, że zgromadzone na dysku sieciowym notatki o pracownikach sporządzone przez ich przełożonych miały łączny rozmiar 60GB danych!

Permanentna inwigilacja?

Naturalne pytanie – skąd przełożeni pozyskali tak szczegółowe dane o swoich podwładnych? Przecież prawnie to niedopuszczalne! Odpowiedź jest prosta i szokująca zarazem – i co z tego, że niedopuszczalne… W toku kontroli hamburski organ nadzoru ochrony danych ustalił, że co najmniej od 2014 roku pewna grupa pracowników H&M była dość uważnie „obserwowana” i dokumentację tejże obserwacji gromadzono na specjalnym, niedostępnym zwykłym śmiertelnikom dysku sieciowym.

Około 50 kierowników średniego i wyższego szczebla miało dostęp do informacji zbieranych podczas tzw. rozmów powitalnych lub nawet zwykłych pogawędek na korytarzu czy przy kawie. A rozmowy powitalne to opakowane ładnym hasłem „przesłuchanie” pracownika wracającego do pracy po krótszej lub dłuższej nieobecności – niezależnie czy to urlopu wypoczynkowego, czy chorobowego. Oprócz wrażeń z wakacji pracownicy byli „powitalnie” wypytywani o objawy chorób, które przebyli, diagnozy postawione przez lekarzy. Wszystkie te dane skrupulatnie zapisywano do notatek na dysku.

Zebrane informacje wykorzystywano do tworzenia profilu pracownika i oceny jego wydajności. Wiedza o tym, że ktoś korzysta z pomocy psychologa lub psychiatry albo doradcy małżeńskiego stanowiła podstawę przewidywania przydatności pracownika w przyszłości – przedłużenia umowy lub zwolnienia z pracy.

Sprawa się rypła!

W momencie ujawnienia dysku szerokiej publiczności sprawa trafiła do prasy i szybko zainteresował się nią organ nadzorczy w Hamburgu. Wszczęto postępowanie. Po analizie danych z feralnego dysku oraz przesłuchaniu wielu świadków podejrzenia o długotrwałym naruszaniu prawa do prywatności i ochrony danych osobowych personelu zostały jednoznacznie potwierdzone.

Sprawca, czyli zakład H&M w Norymberdze przyznał się do winy. Jednocześnie firma zaproponowała różne działania naprawcze:

  • kompleksową koncepcję wdrożenia systemu ochrony danych osobowych w zakładzie w Norymberdze;
  • wystosowanie przeprosin oraz wypłata odszkodowań pokrzywdzonym pracownikom;
  • powołanie koordynatora ds. ochrony danych (sic!);
  • systematyczny, comiesięczny audyt stanu ochrony danych w organizacji;
  • wdrożenie efektywnego systemu obsługi naruszeń ochrony danych osobowych;
  • procedura reakcji na żądania osób, których dane dotyczą.

Zbrodnia i (rekordowa) kara

W swoim werdykcie Komisarz ds. ochrony danych i wolności informacji  w Hamburgu uwzględnił fakt współpracy H&M z organem nadzoru w trakcie kontroli oraz podjęte działania naprawcze. Jednakże ze względu na fakt, że „notatki” zawierające dane szczególnych kategorii (których przetwarzanie co od zasady jest prawnie zakazane w art. 9 ust. 1 RODO) były sporządzane z dużą szczegółowością i przechowywane przez bardzo długi czas, koncern kary nie uniknął.

1 października 2020 roku spółka H&M Hennes & Mauritz Online Shop A.B. & Co. KG (dalej: „H&M”) została ukarana rekordową w Niemczech sumą 35 258 708 EUR.

Prof. Johannes Caspar, hamburski Komisarz ds. ochrony danych i wolności informacji, skomentował sprawę następująco:
ta sprawa dotyczy poważnego naruszenia ochrony danych osobowych w norymberskiej lokalizacji H&M. Wysokość nałożonej kary jest zatem odpowiednia i mam nadzieję, że okaże się skuteczna, aby powstrzymać inne firmy od naruszania prywatności swoich pracowników. Wysiłki kierownictwa mające na celu zrekompensowanie szkód osobom, których dotyczyło naruszenie, i przywrócenie zaufania do firmy jako do pracodawcy należy postrzegać w sposób zdecydowanie pozytywny. Przejrzysta komunikacja ze strony osób ponoszących odpowiedzialność za to zdarzenie oraz gwarancja rekompensaty finansowej niewątpliwie wskazują na szacunek wobec pracowników i uznanie, na jakie zasługują.

Nie jesteś bezbronny wobec korpo

Opisana historia to światełko w tunelu dla wszystkich pracowników, zwłaszcza tych pracujących w koncernach zatrudniających tysiące osób. Niestety, podskórnie wyczuwamy, że chęć posiadania większego zasobu danych o pracownikach niż dozwolony przepisami Kodeksu pracy  to pokusa, która dotknęła nie tylko kierownictwo H&M.

Pozytywne jednak jest, że istnienie struktur nadzoru i kontroli powołanych na mocy przepisów RODO dowiodło swojej celowości i przyszły one z pomocą „maluczkim”. Podobnie wyznaczenie inspektora ochrony danych (przypomnijmy: w norymberskim zakładzie H&M takie stanowisko powstało dopiero po wykryciu opisywanego naruszenia) ma na celu podniesienie poziomu ochrony danych klientów i pracowników firmy. Bowiem rolą IOD jest między innymi doradzanie pracownikom we wszelkich kwestiach dotyczących ochrony danych.

Kto wie, gdyby H&M wyznaczyło koordynatora ds. ochrony danych wcześniej, to może nie musiałoby teraz rezerwować 35 milionów EUR na opłacenie kary…

Autor: Emilian Kujawski