H&M krijgt 35 miljoen boete voor schenden van privacy van werknemers

07-10-2020

De Duitse toezichthouder heeft H&M een boete van 35 miljoen euro opgelegd vanwege stelselmatige overtredingen van de Algemene verordening gegevensbescherming (AVG). H&M registreerde bijzondere persoonsgegevens van honderden werknemers die tijdelijk afwezig waren geweest.

Wanneer werknemers in het servicecentrum van de winkelketen te Neurenberg een (korte) tijd ziek, met vakantie of gewoon vrij waren geweest, werden er door leidinggevenden in het servicecentrum van H&M een zogenoemde ‘Welcome Back Talk’ georganiseerd. Tijdens deze gesprekken noteerden zij wat de werknemers gedurende hun afwezigheid hadden gedaan, welke ziektesymptomen en diagnoses ze kregen. Ook werden notities bijgehouden met informatie over de familieomstandigheden of de geloofsovertuiging van werknemers. Deze notities werden vervolgens opgeslagen op een online toegankelijke netwerkschijf waar 50 andere leidinggevenden toegang tot hadden. Sinds 2014 werden de notities veelvuldig geüpdatet om ontwikkelingen in het privéleven van werknemers te monitoren. Vervolgens werd deze informatie door H&M gebruikt om evaluaties over werknemers uit te voeren.

In oktober 2019 kwam deze gegevensverzameling aan het licht doordat gedurende enkele uren de netwerkschijf voor alle werknemers inzichtelijk was als gevolg van een configuratiefout. Toen de Duitse toezichthouder in Hamburg hiervan op de hoogte was gesteld, kreeg H&M de instructie om alle gegevens op de netwerkschijf over te dragen. Alle daarop aanwezige bestanden bedroegen in totaal zestig gigabyte aan persoonsgegevens van werknemers.

H&M heeft inmiddels zijn verontschuldigingen aangeboden en zal een schadevergoeding betalen aan de werknemers. Daarnaast is een nieuw plan voor de bescherming van persoonsgegevens geïntroduceerd, bestaande uit een functionaris gegevensbescherming, maandelijks updates over de status van de bescherming van persoonsgegevens, verbeterde bescherming van klokkenluiders en een consistent beleid omtrent het recht op inzage van de werknemers.

Het boetebedrag voor H&M is het hoogste boetebedrag dat in Duitsland is uitgedeeld vanwege een overtreding van de AVG. In Europa neemt het een tweede plaats in achter de boete die is uitgedeeld aan Google van 50 miljoen euro.

Lees hier het persbericht van de Hamburgse toezichthouder.


Meer artikelen van Kennedy Van der Laan

Van onze partners

Persoonsgegevens in faillissement

→ Lees meer

Privacywetgeving in de opsporing: de Wpg voor BOA's

→ Lees meer

Privacy voor finance professionals

→ Lees meer

Nieuwsbrief

Blijf op de hoogte van het laatste nieuws over privacy, cybersecurity en data. Abonneer op onze gratis nieuwsbrief.

Abonneer