Den 1. oktober 2020, fik H&M den højeste GDPR-bøde, der er udstedt i Tyskland siden loven trådte i kraft i 2018.
Kilde: datenschutz-hamburg.de
H&M driver et servicecenter i Nürnberg:
hvor ledelsen mindst siden 2014, har registreret detaljer omhandlende medarbejdernes privatliv i såkaldte ”velkommen tilbage” samtaler, som blev holdt efter fravær såsom ferie og sygefravær – selv korte fravær. Noter fra samtalerne var permanent gemt på virksomhedens netværksdrev, og det var ikke kun medarbejdernes konkrete ferieoplevelser, som blev registreret, men også symptomer på sygdom og diagnoser.
Derudover erhvervede enkelte ledere et bredt kendskab til deres medarbejderes private liv gennem personlige og ordet-samtaler, som spænder fra harmløse detaljer til familiens problemer og religiøse overbevisninger. Denne viden blev registreret og gemt digitalt – delvis læsbar af op til 50 andre ledere i hele virksomheden. Optagelserne blev undertiden lavet med en meget højt detaljeringsgrad og blev optaget over en længere periode.
Persondataene for de enkelte medarbejdere blev i flere timer i oktober 2019 tilgængelige for hele virksomheden på grund af en konfigurationsfejl. Da Hamburg-kommissæren for Databeskyttelsesmyndigheden i Hamborg (The Hamburg Commissioner for Data Protection and Freedom of Information) blev informeret herom via en pressemeddelelse, beordrede han først indholdet af netværksdrevet “frosset”, så persondataene ikke kunne tilgås for herefter at kræve det afleveret.
Bøden er den højeste GDPR-bøde, der er udstedt i Tyskland og den anden højeste i hele Europa.
Google har til dato stadigvæk den højeste GDPR-bøde på 57 mio. dollars (ca. 317 mio. kroner.)
H&M har sidenhen undskyldt til de påvirkede medarbejdere i Nürnberg.
»H&M tager det fulde ansvar og ønsker en uforbeholden undskyldning til medarbejderne i servicecentret i Nürnberg,« lyder den officiel udtalelse fra H&M.
Uforpligtende samtale:
Kontakt os allerede i dag uforpligtende på 9310 2032 og hør hvad du som virksomhed, skal have styr på for, at undgå sanktioner og /eller bøder.
GDPR-Ansvarlig påtager sig intet ansvar for direkte og /eller indirekte følgeskader, herunder driftstab og /eller mistet fortjeneste. GDPR-Ansvarligs information/rådgivning baseres udelukkende alene efter de enkelte domme og disses retskendelser, hvilket betyder at senere domme eventuelt kan ændre allerede givende domsafsigelser. Da der løbende sker ændringer i love og regler omkring Databeskyttelsesforordningens (GDPR) forhold, har GDPR-Ansvarligs konkrete information/rådgivning kun gyldighed på det tidspunkt den gives.