Skip to main content
Winkelketen H&M krijgt boete van 35,3 miljoen euro wegens schending van de AVG
Gegevensbescherming & privacy

Winkelketen H&M krijgt boete van 35,3 miljoen euro wegens schending van de AVG

By oktober 22, 2020januari 27th, 2021No Comments

De privacywaakhond van de Duitse deelstaat Hamburg heeft op 1 oktober 2020 een boete van ruim 35 miljoen euro opgelegd aan de wereldwijde winkelketen H&M wegens schending van de privacyregels. In het servicecentrum van H&M in Neurenberg zijn sinds 2014 op grote schaal (bijzondere categorieën van) persoonsgegevens van medewerkers verzameld, digitaal opgeslagen en vervolgens door leidinggevende gebruikt in functionerings- en beoordelingsgesprekken met de betreffende werknemer. Reden voor de privacyautoriteit van de Duitse deelstaat om in te grijpen.

Wat is er precies gebeurd?

Leidinggevenden van het servicecentrum van H&M hebben sinds 2014 grote hoeveelheden persoonsgegevens van werknemers verzameld. Deze persoonsgegevens werden bijvoorbeeld verkregen via zogenoemde ‘Welcome Back Talks’, die werden gevoerd met medewerkers die terugkwamen van een (kortdurende) vakantie of ziekteverlof. De besproken onderwerpen zoals vakantie-ervaringen, ziekteverschijnselen of diagnoses werden vervolgens opgeslagen op een centrale schijf waartoe andere leidinggevenden binnen het servicecentrum toegang hadden. Daarnaast werd de informatie op de schijf aangevuld met informatie die werd verkregen in gesprekken ‘bij de koffieautomaat’, zoals informatie over familieproblemen en religieuze overtuigingen. Met de verkregen informatie werden evaluatie van de desbetreffende werknemers opgesteld op basis waarvan arbeidsgerelateerde beslissingen werden genomen.

Bovengenoemde gang van zaken kwam aan het licht in oktober 2019, toen de geregistreerde gegevens ten gevolge van een configuratiefout gedurende enkele uren beschikbaar binnen waren voor iedereen die toegang had tot het systeem.

Verzamelen van persoonsgegevens van werknemers

De in 2018 ingevoerde Algemene verordening gegevensbescherming (AVG) gaat uit van het uitgangspunt van dataminimalisatie. Dit betekent dat een organisatie niet meer persoonsgegevens van onder meer werknemers mag verzamelen dan strikt noodzakelijk. Het spreekt voor zich dat het verzamelen van informatie over vakantie-ervaringen of familieproblemen niet strikt noodzakelijk is voor uitvoering van de arbeidsovereenkomst. H&M heeft hiermee in strijd gehandeld met de AVG.

Voor wat betreft informatie over ziekteverschijnselen en religieuze overtuigingen geldt dat het hier bijzondere categorieën van persoonsgegevens betreft. Het verwerken van dergelijke bijzondere categorieën van persoonsgegevens is in beginsel verboden. Verwerking van dergelijke persoonsgegevens is slechts toegestaan indien aan strikte voorwaarden is voldaan. Hiervan lijkt in onderhavig geval geen sprake te zijn.

Hoogte van de boete

De Hamburgse privacyautoriteit heeft vanwege de ernstige schending van de AVG (en waarschijnlijk de langdurige aard daarvan) een boete van 35,3 miljoen euro aan H&M opgelegd. Dit is een van de hoogste boetes sinds de invoering van de AVG. U vraagt zich misschien af of een dergelijke hoge boete terecht is? Volgens de AVG wel.

Op grond van de AVG kunnen organisaties die in strijd handelen met het uitgangspunt van dataminimalisatie en het verbod op verwerking van bijzondere categorieën van persoonsgegevens een boete krijgen van maximaal 4% van de wereldwijde jaaromzet van het betrokken bedrijf. Afgezet tegen een jaaromzet van ongeveer 21,5 miljard euro over het jaar 2019, bedraagt de boete van H&M ‘slechts’ 0,16%. Bij de berekening van de boete heeft de privacywaakhond rekening gehouden met het feit dat H&M heeft meegewerkt aan het onderzoek van de toezichthouder en het feit dat H&M bereid is aan haar medewerkers een schadevergoeding te betalen ter compensatie van de privacy-inbreuken.

Hoe nu verder?

 Uit het voorgaande volgt dat het goed is om voor ogen te houden welke persoonsgegevens u van uw werknemers mag verwerken. Van belang daarbij is dat u niet meer persoonsgegevens verwerkt dan strikt noodzakelijk voor uitvoering van de overeenkomst, waarbij speciale aandacht wordt besteed aan de verwerking van bijzondere categorieën van persoonsgegevens. Doet u dit niet, dan loopt u het risico onderwerp van onderzoek van de Autoriteit Persoonsgegevens (AP) te worden.

Hoewel de boetes die tot nu toe door de AP zijn opgelegd lager zijn uitgevallen dan de boete aan H&M, heeft de AP in haar jaarverslag van 2019 aangegeven dat haar aandacht steeds meer verschuift naar handhaving van de privacyregels. Een goede reden dus om te controleren of u uw privacybeleid op orde hebt.

Meer informatie

Heeft u hulp nodig bij het implementeren van de privacyregels in uw organisatie of bent u onderwerp van onderzoek van de Autoriteit Persoonsgegevens? Neem dan contact op met Mayke Linssen of een van de andere specialisten van Team Privacy. Wij helpen u graag verder!

Oktober 2020

Privacy instellingen

Bepaal welke cookies u wilt toestaan.

U kunt deze instellingen op elk gewenst moment wijzigen. Dit kan er echter toe leiden dat sommige functies niet langer beschikbaar zijn. Raadpleeg de helpfunctie van uw browser voor informatie over het verwijderen van cookies. Voor meer informatie omtrent onze cookies, klik hier.

Onderstaand kunt u de verschillende soorten cookies in- en uitschakelen:

 

Deze website zal

  • Essentieel: onthoud uw instelling voor cookietoestemming
  • Essentieel: sessiecookies toestaan
  • Essentieel: verzamel informatie die u invoert in een nieuwsbrief met contactformulieren en andere formulieren op alle pagina's
  • Essentieel: onthoud de taalversie die je hebt geselecteerd

Deze website zal niet

  • Onthoud uw inloggegevens
  • Functionaliteit: onthoud sociale media-instellingen
  • Functionaliteit: onthoud geselecteerde regio en land
  • Analyse: bijhouden van uw bezochte pagina's en de genomen interactie
  • Analyses: houd uw locatie en regio bij op basis van uw IP-nummer
  • Analytics: houd de tijd bij die op elke pagina wordt doorgebracht
  • Analytics: verhoog de datakwaliteit van de statistische functies
  • Adverteren: verzamel persoonlijk identificeerbare informatie zoals naam en locatie

Deze website zal

  • Uw instelling voor cookietoestemming onthouden

Deze website zal niet

  • Sessiecookies toestaan
  • Het IP-adres onthouden (waaronder locatie en regio)
  • Technische kenmerken opslaan (zoals browser)
  • De zoekwoorden opslaan die u gebruikt
  • Het platformtype opslaan dat u gebruikt
  • Opslaan via welke pagina u op onze site bent gekomen
  • Individuele beveiligingsinstellingen (o.a. anti-spam) toepassen
  • De bezochte pagina’s en genomen interactie opslaan
  • Geselecteerde taalversies onthouden
  • Social media-instellingen onthouden
  • De tijd die op een specifieke pagina wordt doorgebracht onthouden
  • Persoonlijke, identificeerbare informatie verzamelen (zoals naam, locatie etc.)
  • De datakwaliteit van statistische functies verhogen

Deze website zal

  • Uw instelling voor cookietoestemming onthouden
  • Sessiecookies toestaan
  • Het IP-adres onthouden (waaronder locatie en regio)
  • Technische kenmerken opslaan (zoals browser)
  • De zoekwoorden opslaan die u gebruikt
  • Het platformtype opslaan dat u gebruikt
  • Opslaan via welke pagina u op onze site bent gekomen

Deze website zal niet

  • Individuele beveiligingsinstellingen (o.a. anti-spam) toepassen
  • De bezochte pagina’s en genomen interactie opslaan
  • Geselecteerde taalversies onthouden
  • Social media-instellingen onthouden
  • De tijd die op een specifieke pagina wordt doorgebracht onthouden
  • Persoonlijke, identificeerbare informatie verzamelen (zoals naam, locatie etc.)
  • De datakwaliteit van statistische functies verhogen

Deze website zal

  • Uw instelling voor cookietoestemming onthouden
  • Sessiecookies toestaan
  • Het IP-adres onthouden (waaronder locatie en regio)
  • Technische kenmerken opslaan (zoals browser)
  • De zoekwoorden opslaan die u gebruikt
  • Het platformtype opslaan dat u gebruikt
  • Opslaan via welke pagina u op onze site bent gekomen
  • Individuele beveiligingsinstellingen (o.a. anti-spam) toepassen
  • De bezochte pagina’s en genomen interactie opslaan
  • Geselecteerde taalversies onthouden
  • Social media-instellingen onthouden
  • De tijd die op een specifieke pagina wordt doorgebracht onthouden
  • Persoonlijke, identificeerbare informatie verzamelen (zoals naam, locatie etc.)
  • De datakwaliteit van statistische functies verhogen

Deze website zal niet

Opslaan en sluiten