Több mint 35 millió eurós adatvédelmi bírságot szabott ki a Hamburgi Adatvédelmi Hatóság a H&M ruházati társaság németországi szolgáltató központjára, mivel megállapításra került, hogy a társaság a munkavállalók magánszférájára vonatkozóan gyűjtött jogellenesen információkat.
Az adatkezelés abban állt, hogy - legalább 2014-től kezdődően - a munkavállalók magánszférájára vonatkozó részletes adatokat gyűjtöttek és rögzítettek. A gyűjtött adatok magukban foglaltak információkat a munkavállalók távolléteiről (pl. szabadság, betegszabadság). A távollétről történő visszatérést követően a csoportvezetők ún. "visszatérést követő, üdvözlő beszélgetést" folytattak a visszatérő munkavállalókkal (akár egy rövid távollét után is), amely során nemcsak a konkrét szabadságra vonatkozó tapasztalatokat rögzítették, de pl. egy betegszabadság esetén, a betegség tüneteit és a diagnózisokat is. Az adatgyűjtés következtében a vezetők széles körű ismereteket szereztek a munkavállalók magánéletéről, beleértve a családi életükre vonatkozó információkat, de olyan - különleges adatnak minősülő - információkat, mint a vallási meggyőződés is. Az így gyűjtött adatok egy részét rögzítették, digitális formában tárolták és azokhoz akár 50 vezető hozzáférhetett a társaságnál. Az adatbázist az egyéni értékelések mellett, profilozásra is használták, amely a munkavállalókat érintő döntések során is figyelembe vételre került.
Az esetre egyébként úgy derült fény, hogy - egy konfigurációs hiba miatt - az adatok a vállalaton belül széles körben elérhetővé váltak 2019. októberében. Az esetet követő sajtóhírekre reagálva a Hamburgi Adatvédelmi Hatóság vizsgálatot indított, bekérve a társaságtól a vonatkozó, mintegy 60 gigabyte méretű adatbázist.
Az esetet követően a társaság komoly lépéseket tett az adatvédelmi jogsértések korrigálása érdekében, amelyet a hatóság pozitívan értékelt. Ennek keretében:
- a társaság elismerte a felelősségét, bocsánatot kértek az érintettektől és érezhető mértékű kompenzáció megfizetését vállalták az érintettek felé,
- adatvédelmi koordinátor került kijelölésre,
- havi adatvédelmi helyzetjelentés készítése,
- fokozott figyelemfelhívás a visszaélések bejelentőinek védelmére,
- az érintettek hozzáférési jogának gyakorlására vonatkozó konzisztens koncepció.
A bírság - összegét tekintve - a második legnagyobb bírság a GDPR alkalmazandóvá válását követően (a CNIL Google-re kiszabott 50 millió eurós bírsága után), munkavállalói adatok kezelését érintő jogsértés kapcsán pedig az eddigi legmagasabb összeg. A bírság összege érdekes lehet a német hatóságok által korábban elfogadott, a bírság összegének kalkulációjára vonatkozó koncepció szempontjaira tekintettel. Ugyanakkor a konkrét ügyben számítás pontos módja még nem ismert (pl, milyen módon vettek figyelembe enyhítő körülményeket).