GDPR: monsterboete van 35 miljoen euro voor Duits servicecenter van H&M (Claeys & Engels)

Auteur: Claeys & Engels

Publicatiedatum: 13/11/2020

Begin oktober besliste de Hamburgse Gegevensbeschermingsautoriteit om het servicecenter van H&M te Neurenberg een boete op te leggen van niet minder dan 35,3 miljoen euro omdat de Zweedse modeketen de privacy van haar werknemers geschonden had door het bijhouden van verregaande private gegevens.

Meer bepaald gaat het om heel wat gevoelige gegevens, zoals ziektesymptomen of medische diagnoses, maar ook informatie betreffende relatieproblemen en geloofsovertuigingen. Dit gamma aan gedetailleerde gegevens zou mee in overweging genomen worden bij het maken van bepaalde tewerkstellingsbeslissingen. De GDPR verbiedt in principe echter om gevoelige gegevens te verwerken en vereist dat er dus steeds een wettelijke uitzonderingsgrond voorhanden moet zijn om dat toch te doen.

Feiten

H&M hield er de gewoonte op na om na elke afwezigheid van een werknemers (vakantie, ziekte, kort verzuim,…) “welcome back talks” tussen de werknemers en de teamleider te organiseren. Daarin werden er gepeild naar allerlei zaken zoals de oorzaak van de afwezigheid, vakantie ervaringen,… De daaruit verkregen gegevens werden geheel of gedeeltelijk opgeslagen op een digitaal platform waartoe een vijftigtal managers toegang hadden. Minstens sinds 2014 werden er binnen het bedrijf op deze manier omvangrijke details bijgehouden over het privéleven van hun werknemers. Kortom, de onderneming had een breed scala aan uiterst gevoelige gegevens uitgebouwd over zo’n 700 werknemers. Bovendien zou ook informatie bewaard worden in het dossier die voortkwam uit privégesprekken zoals bijvoorbeeld een informeel gesprekje tijdens de middagpauze.

De bewaarde gegevens zouden onder meer gebruikt worden om een profiel van de werknemers te schetsen waarop dan, naast prestatie gerelateerde evaluaties, eventuele beslissingen inzake de tewerkstelling gebaseerd werden, zoals het al dan niet verlengen van een contract.

Gegevenslek

Dat deze gegevens verzameld werden, kwam aan het licht toen deze ongewild voor enkele uren beschikbaar werden voor alle werknemers van de hele onderneming als gevolg van een configuratiefout in het digitale systeem. De Hamburgse Commissaris voor Gegevensbescherming startte een onderzoek nadat dit lek gemeld werd.

Beslissing

Ondanks het feit dat H&M zich steeds coöperatief opstelde en aangekondigd had om een financiële tegemoetkoming toe te kennen aan de betrokken werknemers, heeft de Hamburgse Gegevensbeschermingsautoriteit de onderneming alsnog een aanzienlijke boete opgelegd van 35.258.707,95 EUR. Dit bedrag is, aldus de Commissaris, verantwoord gelet op het feit dat er door het onderzoek naar het privéleven van de werknemers en de voortdurende registratie en updates van deze gegevens de rechten van de werknemers op een bijzonder ingrijpende wijze geschonden werden. Er wordt onderstreept dat een boete van dit kaliber dan ook op z’n plaats is en tegelijkertijd een doeltreffende manier vormt om andere werkgevers ervan te weerhouden om de privacy van zijn werknemers te schenden.

Om tegemoet te komen aan haar foutief optreden, heeft H&M niet alleen uitgebreid haar excuses aangeboden, maar eveneens de suggestie ter harte genomen om een schadevergoeding aan te bieden aan de betrokken werknemers die minstens een maand in dienst waren sinds mei 2018, het moment waarop de GDPR van toepassing werd. Dat laatste is een nieuwigheid in deze context, maar kan op veel positieve bijval rekenen omdat daaruit duidelijk de wil blijkt om de werknemers het respect en de erkenning te geven die zij als werknemer verdienen, volgens de Hamburgse toezichthouder. Daarnaast heeft de onderneming ook een actieplan gelanceerd om de interne auditpraktijken te verbeteren en zo de naleving van de gegevensbeschermingsregels te waarborgen.

Voor zover bekend zal H&M de beslissing niet aanvechten en is deze uitspraak definitief.

Actiepunt

Aangezien de GDPR een Europees wettelijk kader vormt, is deze uitspraak ook relevant voor Belgische werkgevers. Behoedt u er als werkgever voor dat u geen gegevens bijhoudt die niet noodzakelijk zijn of niet verantwoord kunnen worden in het kader van de arbeidsrelatie, in het bijzonder gegevens die de GDPR als gevoelig klasseert zoals bijvoorbeeld informatie over gezondheidsgegevens, politieke opvattingen, religieuze overtuigingen, etnische afkomst,…

Lees hier het originele artikel