Boete voor H&M om schending privacy werknemers

Op 1 oktober jl. heeft een van de Duitse privacy toezichthouders (Hamburg) een boete van 35 miljoen euro opgelegd aan modeketen H&M wegens het stelselmatig overtreden van de Algemene verordening gegevensbescherming (AVG). De beslissing vindt u hier (in het Engels).

Waarom heeft H&M deze hoge boete ontvangen?

In het servicecentrum van H&M in Neurenberg werd sinds 2014 een zogenaamde ‘Welcome Back Talk’ georganiseerd als werknemers gedurende een periode ziek, met vakantie of gewoon vrij waren geweest. Tijdens deze gesprekken werden werknemers gevraagd naar ziektesymptomen en diagnoses of wat zij gedaan hadden tijdens hun afwezigheid. Ook hielden leidinggevenden notities bij over familieomstandigheden of geloofsovertuigingen. Deze gegevens werden opgeslagen op een online netwerkschijf, welke toegankelijk was voor vijftig andere leidinggevenden. Bij nieuwe ontwikkelingen in het privéleven van de werknemer, werden de online notities geüpdatet en gebruikt bij beoordelingsgesprekken en evaluaties van de werknemers.

Het bestaan en de inhoud van de notities werden bekend omdat de gegevens door een configuratiefout in 2019 een aantal uren toegankelijk waren voor alle werknemers binnen het bedrijf. Nadat de Duitse toezichthouder hierover werd geïnformeerd, heeft H&M alle gegevens van de netwerkschijf (ter grootte van maar liefst 60 GB) moeten overdragen aan de toezichthouder.

De toezichthouder kwam vervolgens tot de conclusie dat de werknemers van H&M jarenlang zijn gemonitord en dat H&M daarbij stelselmatig bijzondere persoonsgegevens verwerkte. Het ging hier dus niet alleen om onzorgvuldige verwerking, maar om ernstige, bewuste schendingen van de fundamentele beginselen van het recht op gegevensbescherming. Daarom is een boete van 35 miljoen euro hier op zijn plaats volgens de toezichthouder. Niet eerder werd in Duitsland zo’n hoge boete wegens een AVG-overtreding opgelegd. In dit kader verwijzen wij naar het artikel dat onze Duitse Ius Laboris collega Jessica Jacobi, partner bij KLIEMT, schreef over de boete.

Wat betekent dit voor u als werkgever?

Het is in Nederland op basis van de AVG en de Uitvoeringswet AVG verboden om gegevens over onder meer gezondheid, ras of etnische afkomst, politieke opvattingen, godsdienst of biometrische gegevens te verwerken. Alleen als hier een strikte wettelijke uitzondering voor bestaat, is het mogelijk om deze bijzondere persoonsgegevens te verwerken. Ook de Nederlandse privacy waakhond maakte eerder dit jaar korte metten met de verwerking van vingerafdrukken (= biometrische gegevens van werknemers) zonder dat daarvoor een juridische grondslag bestond en legde Manfield een boete op van € 725.000, -. Zie hierover meer op de website van de Autoriteit Persoonsgegevens.

Zorg er daarom als werkgever voor dat je geen bijzondere persoonsgegevens verwerkt, zonder dat hier een wettelijke basis voor bestaat.