Obowiązek informacyjny rodo

KOMPAS FORSAFE 2020/8

Kraj:

Niemcy

Data wydania decyzji:

01.10.2020 r.

Podmiot kontrolowany:

H&M Hennes & Mauritz Online Shop A.B. & Co. KG

Wysokość kary (EUR):

35.258.708

Podstawa prawna naruszenia

Art. 5, art. 6 RODO.

Niewystarczająca podstawa prawna przetwarzania danych.

 

Przyczyna naruszenia

Naruszenie danych osobowych w H&M Service Center w Norymberdze było wynikiem długotrwałego monitorowania pracowników przez kierownictwo. Od 2014 roku gromadzono szczegółowe informacje na temat życia prywatnego pracowników, które były przechowywane na dysku sieciowym. Dane te obejmowały informacje o zdrowiu, doświadczeniach z urlopów oraz inne prywatne szczegóły.

 

Opis wydarzeń

  1. Zbieranie danych: Kierownicy przeprowadzali rozmowy z pracownikami, podczas których zbierali informacje o wakacjach, nieobecnościach chorobowych, objawach chorobowych, diagnozach, życiu prywatnym, problemach rodzinnych, czy przekonaniach religijnych. Na ich podstawie sporządzano notatki, które były dostępne dla około 50 innych menedżerów w firmie.
  2. Cel wykorzystania danych: Pozyskane dane były wykorzystywane między innymi do oceny wydajności pracy pracowników oraz podejmowania decyzji o zatrudnieniu.
  3. Ujawnienie danych: W październiku 2019 roku, z powodu błędu konfiguracyjnego, dane te przez kilka godzin stały się dostępne dla całej firmy.
  4. Reakcja organów: Po zgłoszeniu sprawy do Hamburskiego Komisarza ds. Ochrony Danych i Wolności Informacji (HmbBfDI), nakazano zabezpieczenie zawartości dysku sieciowego i przekazanie danych do analizy. Firma dostarczyła około 60 gigabajtów danych do oceny.
  5. Postępowanie kontrolne: Przesłuchania świadków potwierdziły stosowane przez kierowników H&M praktyki.

 

Źródło

Pełna treść decyzji organu nadzorczego

 

Aby uniknąć podobnych naruszeń, zalecamy:

  1. Prawo do prywatności pracowników: Unikanie działań, które mogą naruszać prywatność pracowników.
  2. Zbieranie tylko niezbędnych informacji: Pozyskiwanie o pracownikach jedynie tych informacji, które są wymagane przez przepisy prawa.
  3. Konsultacje przed zbieraniem danych: Przed rozpoczęciem zbierania danych wykraczających poza zakres wskazany w przepisach, warto skonsultować się z Inspektorem Ochrony Danych lub osobą odpowiedzialną za ochronę danych osobowych.

 

Jeśli potrzebujesz wsparcia w zakresie ochrony danych osobowych, zapraszamy do kontaktu

    * dane obowiązkowe.
    Administratorem danych osobowych jest FORSAFE Sp. z o.o. z siedzibą w Łodzi, przy ul. 1 Maja 31/33. Dane osobowe będą przetwarzane wyłącznie w prawnie usprawiedliwionym celu administratora danych. Każdemu przysługuje prawo dostępu do treści swoich danych i prawo poprawiania danych. Podanie danych osobowych jest dobrowolne ale konieczne dla świadczenia usług.

    Obowiązek informacyjny RODO