Czym zawiniło niemieckie centrum usługowe sieci H&M oraz fińska spółka marketingowa, że zostały ukarane odpowiednio sankcjami w wysokości 35,3 mln oraz 7 tys. euro za uchybienia dotyczące RODO?
Podsumowanie:
- W jakich przykładowych sytuacjach dopuszczalne jest przetwarzanie pracowniczych danych osobowych szczególnych kategorii.
- Jakie są zasady realizowania wysyłek marketingowych do osób fizycznych w kontekście RODO.
W ostatnich tygodniach zagraniczne źródła donosiły o okolicznościach nałożenia dwóch kar – z czego jedna była niezwykle wysoka – za błędne przetwarzanie danych osobowych. Wymierzyły je europejskie organy nadzorcze. Pierwsza opiewała na 35,3 mln euro, a druga na 7 tys. euro. Ukarani, to odpowiednio: niemieckie centrum usługowe sieci handlowej H&M oraz fińska spółka marketingowa Acc Consulting Varsinais-Suomi (Independent Consulting Oy). Czego dokładnie dotyczyły tak wysokie sankcje?
35,3 mln euro kary dla H&M za nadmierne przetwarzanie katalogu danych osobowych
Pierwszy przypadek odnosi się do obszaru pracowniczego. Hamburski organ ochrony danych osobowych nałożył karę w wysokości 35,3 mln euro na centrum usługowe sieci handlowej H&M w związku z przetwarzaniem nadmiernego katalogu danych osobowych. O co dokładnie chodziło?
Polityka ukaranej organizacji zakładała, że nawet po krótkiej nieobecności pracownika (np. urlop lub zwolnienie lekarskie), przełożony odbywał z nim krótką rozmowę powitalną. Efektem przeprowadzania takiej rozmowy było tworzenie notatki, która zawierała m.in. informacje o życiu prywatnym pracownika, a także o jego stanie zdrowia. Niektóre z tworzonych notatek zawierały szczegółowe informacje o diagnozie i przebiegu choroby. Inne z kolei odnosiły się do życia prywatnego i zawierały szczegółowe informacje na temat życia rodzinnego i przekonań religijnych. Tworzone materiały były stale składowane na dyskach ukaranej organizacji, a dostęp do katalogu był zarezerwowany głównie dla kadry menadżerskiej (ok. 50 osób). Oprócz skrupulatnej oceny indywidualnych wyników pracy, zbierane w ten sposób dane służyły m.in. do uzyskiwania szczegółowego profilu pracowników i formułowania decyzji dotyczących ich dalszego zatrudniania. Fakt zbierania tych danych został ujawniony w październiku 2019 r. Dane stały się dostępne w całej firmie na kilka godzin z powodu błędu konfiguracji.
Gdzie spółka H&M popełniła błąd?
Przede wszystkim przetwarzanie danych osobowych w związku z realizacją stosunku pracy podlega ścisłej ochronie. Ogólne rozporządzenie o ochronie danych z 27 kwietnia 2016 r. (tj. RODO) zakłada, iż przetwarzanie danych osobowych szczególnych kategorii, tj. danych dotyczących m.in. stanu zdrowia, czy też przekonań religijnych jest co do zasady zabronione. Wyjątek stanowi m.in.:
- zgoda pracownika
- realizacja obowiązków prawnych z zakresu prawa pracy
- czy ochrona roszczeń.
Analizowany przypadek nie spełnia żadnej z przesłanek legalizacyjnych. Pamiętajmy, że w przypadku polskiego prawa pracy, zakres danych osobowych, oprócz przepisów RODO, jest dodatkowo dookreślony przepisami Kodeksu pracy. Punktem wyjścia przy ocenie katalogu danych osobowych pracowników, dla każdego pracodawcy, powinien być art. 221 Kodeksu pracy. Jak widać na przykładzie omawianego przedsiębiorstwa zbyt głęboka ingerencja w życie prywatne pracowników jest niedopuszczalna.
7 tys. euro kary dla Acc Consulting Varsinais-SuomiKara w związku z wysyłką mailingu bez zgody odbiorców
7 tys. euro zasądzona przez fiński organ nadzorczy dotyczyła wysyłki mailingu marketingowego bez zgody odbiorców. Spółka Acc Consulting Varsinais-Suomi (Independent Consulting Oy) wysyłała wiadomości SMS zawierające treści marketingowe do osób fizycznych. W czym tkwił problem? Ukarana spółka nie uzyskiwała zgody osób fizycznych na wysyłkę danych, a ponadto ewentualne próby wypisania się z bazy danych subskrybentów były bezskuteczne. Analogicznie do naszej rodzimej ustawy o świadczeniu usług drogą elektroniczną, fiński kodeks społeczeństwa informacyjnego zakłada pozyskanie zgody osoby fizycznej na wysyłkę informacji handlowej. Ukarana spółka argumentowała swoje postępowanie faktem, iż przekaz marketingowy był kierowany do kontrahentów, tj. prawdopodobnie osób prawnych, a baza danych subskrybentów była utworzona z bazy danych tzw. osób kontaktowych, tj. reprezentantów kontrahentów. Takiego uzasadnienia nie przyjął jednak fiński organ nadzorczy. Stwierdził w uzasadnieniu decyzji, że wiadomości marketingowe kierowane do osób fizycznych – w tym przypadku także na służbowe numery telefonów – nie mogą być uznane za przeznaczone dla osób prawnych, a administrator powinien był zwrócić się do osoby, której dane dotyczą, o zgodę na bezpośredni marketing elektroniczny. Ostatecznie fińska spółka została ukarana za wysyłkę materiałów marketingowych bez zgody osób fizycznych, a także za niezrealizowanie praw podmiotów danych, tj. usunięcia danych, czy też wycofania zgody.
Zapisz się do newslettera „Alerty RODO” – nie daj się zaskoczyć!
Gdzie fińska spółka marketingowa się przeliczyła? Warto pamiętać, że motyw 47 preambuły RODO wskazuje, iż marketing bezpośredni może być realizowany na podstawie tzw. prawnie uzasadnionego interesu administratora danych osobowych, co w praktyce wyłącza konieczność pobrania zgody. Jednak w wielu przypadkach przepisy krajowe w praktyce pozbawiają administratorów danych osobowych takiej możliwości. Powyżej został przytoczony przykład prawodawstwa fińskiego, pamiętajmy jednak, że analogiczne rozwiązania występują w prawie polskim, tj. wspomniana już ustawa o świadczeniu usług drogą elektroniczną, czy też Prawa telekomunikacyjnego. Drugim aspektem tej sprawy jest możliwość realizacji rozbudowanego katalogu praw podmiotów danych. Należy mieć na uwadze, że administrator danych powinien zapewnić sprawną możliwość wypisania się z bazy newslettera, czy też innej bazy marketingowej. W analizowanym przypadku brak reakcji na żądania osób fizycznych miał wpływ na wysokość nałożonej kary.
AUTOR: Kacper Rączkowiak