Dataskyddsmyndigheten i Hamburg, Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (“HmbBfDI”), har bötfällt H&M Hennes & Mauritz Online Shop A.B. & Co. KG. med 35,3 miljoner euro för brott mot dataskyddsförordningen (“GDPR”).
Av HmbBfDI:s pressmeddelande framgår att H&M, med säte i Hamburg, driver ett servicecenter i Nürnberg. H&M har åtminstone sedan 2014 utsatt anställda för omfattande kartläggningar av deras privata levnadsförhållanden. Efter att en anställd varit frånvarande på grund av semester eller sjukdom, har en av företagets teamledare genomfört en så kallad Welcome Back Talk. Vid dessa samtal antecknade H&M uppgifter om såväl konkreta semesterupplevelser som symtom på sjukdom och diagnoser. Därutöver kartlagde H&M anställdas privatliv genom att dokumentera samtal om allt från harmlösa detaljer till familjeproblem och trosbekännelser.
Resultaten lagrades digitalt och var läsbar för upp till 50 andra chefer på företaget. Ibland gjordes även inspelningar innehållandes personliga detaljer om de anställda, inspelningar som H&M också uppdaterade över tid. Förutom en mycket noggrann kartläggning av individuella arbetsprestationer användes även uppgifterna som samlats in bland annat för att skapa profiler på de anställda. Dessa profiler användes därefter av H&M för åtgärder och beslut gentemot de anställda.
H&M:s insamling blev känd i samband med att uppgifterna, under några timmar under oktober 2019, blev tillgängliga i hela företaget på grund av ett konfigurationsfel i en nätverksenhet. Efter att HmbBfDI informerats om insamlingen beordrades företaget att “frysa” innehållet i nätverksenheten helt och hållet. H&M följde HmbBfDI:s anvisningar och lämnade därefter in en uppsättning uppgifter på cirka 60 gigabyte för utvärdering. Efter att HmbBfDI analyserat uppgifterna bekräftades H&M:s omfattande kartläggning av företagets anställda.
Efter upptäckten har ansvariga på H&M vidtagit olika åtgärder. Företaget har bland annat presenterat ett omfattande koncept för HmbBfDI om hur behandling av personuppgifter ska genomföras vid servicecentret i Nürnberg framöver. För att hantera tidigare händelser har H&M:s ledning inte bara uttryckligen bett om ursäkt till de drabbade, utan också föreslagit att de anställda ska få en betydande ersättning. H&M har därutöver utsett ett nytt dataskyddsombud, infört månatliga uppdateringar av företagets pågående dataskyddsarbete, samt tagit fram ett tydligare skydd för visselblåsare och ett koncept för hur registrerade ska informeras om H&M:s personuppgiftsbehandling.