De privacywaakhond van de Duitse deelstaat Hamburg heeft op 1 oktober 2020 een boete van ruim 35 miljoen euro opgelegd aan de wereldwijde winkelketen H&M wegens schending van de privacyregels. In het servicecentrum van H&M in Neurenberg zijn sinds 2014 op grote schaal (bijzondere categorieën van) persoonsgegevens van medewerkers verzameld, digitaal opgeslagen en vervolgens door leidinggevende gebruikt in functionerings- en beoordelingsgesprekken met de betreffende werknemer. Reden voor de privacyautoriteit van de Duitse deelstaat om in te grijpen.

Wat is er precies gebeurd?

Leidinggevenden van het servicecentrum van H&M hebben sinds 2014 grote hoeveelheden persoonsgegevens van werknemers verzameld. Deze persoonsgegevens werden bijvoorbeeld verkregen via zogenoemde ‘Welcome Back Talks’, die werden gevoerd met medewerkers die terugkwamen van een (kortdurende) vakantie of ziekteverlof. De besproken onderwerpen zoals vakantie-ervaringen, ziekteverschijnselen of diagnoses werden vervolgens opgeslagen op een centrale schijf waartoe andere leidinggevenden binnen het servicecentrum toegang hadden. Daarnaast werd de informatie op de schijf aangevuld met informatie die werd verkregen in gesprekken ‘bij de koffieautomaat’, zoals informatie over familieproblemen en religieuze overtuigingen. Met de verkregen informatie werden evaluatie van de desbetreffende werknemers opgesteld op basis waarvan arbeidsgerelateerde beslissingen werden genomen.

Bovengenoemde gang van zaken kwam aan het licht in oktober 2019, toen de geregistreerde gegevens ten gevolge van een configuratiefout gedurende enkele uren beschikbaar binnen waren voor iedereen die toegang had tot het systeem.

Verzamelen van persoonsgegevens van werknemers

De in 2018 ingevoerde Algemene verordening gegevensbescherming (AVG) gaat uit van het uitgangspunt van dataminimalisatie. Dit betekent dat een organisatie niet meer persoonsgegevens van onder meer werknemers mag verzamelen dan strikt noodzakelijk. Het spreekt voor zich dat het verzamelen van informatie over vakantie-ervaringen of familieproblemen niet strikt noodzakelijk is voor uitvoering van de arbeidsovereenkomst. H&M heeft hiermee in strijd gehandeld met de AVG.

Voor wat betreft informatie over ziekteverschijnselen en religieuze overtuigingen geldt dat het hier bijzondere categorieën van persoonsgegevens betreft. Het verwerken van dergelijke bijzondere categorieën van persoonsgegevens is in beginsel verboden. Verwerking van dergelijke persoonsgegevens is slechts toegestaan indien aan strikte voorwaarden is voldaan. Hiervan lijkt in onderhavig geval geen sprake te zijn.

Hoogte van de boete

De Hamburgse privacyautoriteit heeft vanwege de ernstige schending van de AVG (en waarschijnlijk de langdurige aard daarvan) een boete van 35,3 miljoen euro aan H&M opgelegd. Dit is een van de hoogste boetes sinds de invoering van de AVG. U vraagt zich misschien af of een dergelijke hoge boete terecht is? Volgens de AVG wel.

Op grond van de AVG kunnen organisaties die in strijd handelen met het uitgangspunt van dataminimalisatie en het verbod op verwerking van bijzondere categorieën van persoonsgegevens een boete krijgen van maximaal 4% van de wereldwijde jaaromzet van het betrokken bedrijf. Afgezet tegen een jaaromzet van ongeveer 21,5 miljard euro over het jaar 2019, bedraagt de boete van H&M ‘slechts’ 0,16%. Bij de berekening van de boete heeft de privacywaakhond rekening gehouden met het feit dat H&M heeft meegewerkt aan het onderzoek van de toezichthouder en het feit dat H&M bereid is aan haar medewerkers een schadevergoeding te betalen ter compensatie van de privacy-inbreuken.

Hoe nu verder?

 Uit het voorgaande volgt dat het goed is om voor ogen te houden welke persoonsgegevens u van uw werknemers mag verwerken. Van belang daarbij is dat u niet meer persoonsgegevens verwerkt dan strikt noodzakelijk voor uitvoering van de overeenkomst, waarbij speciale aandacht wordt besteed aan de verwerking van bijzondere categorieën van persoonsgegevens. Doet u dit niet, dan loopt u het risico onderwerp van onderzoek van de Autoriteit Persoonsgegevens (AP) te worden.

Hoewel de boetes die tot nu toe door de AP zijn opgelegd lager zijn uitgevallen dan de boete aan H&M, heeft de AP in haar jaarverslag van 2019 aangegeven dat haar aandacht steeds meer verschuift naar handhaving van de privacyregels. Een goede reden dus om te controleren of u uw privacybeleid op orde hebt.

Meer informatie

Heeft u hulp nodig bij het implementeren van de privacyregels in uw organisatie of bent u onderwerp van onderzoek van de Autoriteit Persoonsgegevens? Neem dan contact op met Mayke Linssen of een van de andere specialisten van Team Privacy. Wij helpen u graag verder!

Oktober 2020