Boete van 35,3 miljoen euro voor H&M wegens schending privacy werknemers

H&M heeft een boete van 35,3 miljoen euro opgelegd gekregen vanwege de schending van de privacy van haar werknemers. H&M verzamelde sinds 2014 tot in detail persoonsgegevens over het privéleven van werknemers van haar servicecentrum in Neurenberg. Dit kwam in oktober 2019 aan het licht door een configuratiefout. De Duitse privacytoezichthouder in Hamburg startte daarop een onderzoek en concludeerde dat deze gegevensverwerking in strijd is met de Algemene Verordening Gegevensbescherming (AVG).

27 okt. 2020

Gegevensverzameling door H&M

In het servicecentrum van H&M hielden leidinggevenden zogeheten ‘Welcome Back Talks’ met werknemers die terugkwamen van ziekte, vakantie of een dagje vrij. Tijdens die gesprekken werd genoteerd wat de werknemers tijdens hun afwezigheid hadden gedaan, welke vakantie-ervaringen zij hadden of welke ziektesymptomen en diagnoses ze hadden gekregen. Ook hadden leidinggevenden een brede kennis over het privéleven van hun werknemers door andere persoonlijke gesprekken en gesprekken op de werkvloer. Een deel van die informatie – zoals informatie over familieomstandigheden of geloofsovertuigingen – werd eveneens door de leidinggevenden genoteerd. Al deze notities van honderden werknemers werden opgeslagen op een online toegankelijke netwerkschijf. Vijftig andere leidinggevenden van H&M hadden toegang tot deze netwerkschijf. De centraal verzamelde informatie werd door H&M onder meer gebruikt om evaluaties over de werknemers uit te voeren.

Onderzoek Duitse privacytoezichthouder Hamburg

Door een configuratiefout in oktober 2019 was de netwerkschrijf met deze gegevensverzameling voor alle werknemers van het concern H&M inzichtelijk. De Duitse privacytoezichthouder in Hamburg is hier vervolgens van op de hoogte gesteld. Na een onderzoek concludeerde zij dat er sprake is van een zeer verregaande gegevensverzameling door H&M die in strijd is met de AVG. Zij legde H&M daarom op 1 oktober 2020 een boete op van 35,3 miljoen euro.

Deze conclusie van de Duitse privacytoezichthouder verbaast ons niet. Het verwerken van gegevens over ziektesymptomen, diagnoses, geloofsovertuigingen, etc. door werkgevers is immers in beginsel in strijd met de AVG.

H&M heeft na het onderzoek haar verontschuldigingen aangeboden. Daarnaast heeft H&M aangekondigd om aan alle betrokken werknemers een aanzienlijke schadevergoeding te zullen betalen. Ook heeft H&M een plan opgesteld om de bescherming van persoonsgegevens beter te regelen. In dat plan staat onder meer dat er een nieuwe gegevensbeschermingscoördinator wordt aangesteld en dat er een betere bescherming komt voor klokkenluiders.

Strenge handhaving AVG

Deze zaak laat zien dat de privacytoezichthouders in Europa serieus werk maken van de handhaving van de AVG. De boete die H&M opgelegd heeft gekregen is in Duitsland tot nu toe de hoogste. Kijken we naar Europa dan is dit de op een na hoogste boete die tot nu toe is opgelegd. De hoogste boete – van 50 miljoen euro – is aan Google opgelegd door de Franse privacytoezichthouder.

Ook in Nederland is de Autoriteit Persoonsgegevens druk doende de AVG te handhaven. De hoogste boete die de Autoriteit Persoonsgegevens tot nu toe heeft opgelegd, was aan een bedrijf dat onrechtmatig bijzondere persoonsgegevens verwerkte door werknemers hun vingerafdrukken te laten scannen voor een aanwezigheids- en tijdsregistratie. Dit bedrijf kreeg een boete van € 725.000 opgelegd.

Ook wij zien in onze praktijk dat de Autoriteit Persoonsgegevens steeds vaker informatieverzoeken indient bij organisaties om na te gaan of zij hun privacyhuishouding op orde hebben. Organisaties zijn in beginsel verplicht om mee te werken aan dergelijke informatieverzoeken. Vaak is dat een voorfase van het opleggen van een boetebesluit. Kortom, het is van belang om ervoor te zorgen dat de verwerkingen van persoonsgegevens bij uw organisatie in overeenstemming zijn met de AVG.