H&M Has Been Fined 35 Million Euros For Violation Of Employees’ Privacy

  • Posted By Pierangela Rodilosso
  • |
  • 8 October 2020
  • |
  • 0 comments
H&M Has Been Fined 35 Million Euros For Violation Of Employees’ Privacy

Sharing is caring!

On 1 October 2020, the Hamburg Commission for Data Protection and Freedom of Information fined H&M 35.3 million euros for violating the privacy of several hundred employees of the Nuremberg branch on 1 October 2020. The measure imposed the highest sanction ever imposed for violation of workers’ privacy. The news in the comment was circulated after H&M announced the closure of approximately 250 shops in 2021.

In particular, as a result of the investigation, it emerged that, as of 2014, H&M had been collecting personal data from its employees, recording and storing it digitally in the company’s computer network. Moreover, the filing of employees was accessible to at least 50 managers of the company. The records were often made with a high level of detail and updated continuously. The Swedish company kept, among other things, data of a particular nature, such as data on the health and religious beliefs of its employees, as well as information on their family life. The information in question was collected through interviews with the supervising team after the absence due to holiday or illness.

In addition to an accurate assessment of individual work performance, the data collected was also used by H&M to obtain a personal profile of employees, to establish measures and make decisions as part of the employment relationship. Illegal data collection activities, therefore, resulted in particularly intense interference in the rights of those affected, also given the duration and ongoing nature of the processing.

Illegal profiling of employees became known due to an error in the configuration of the systems which, in October 2019, had made the company archive accessible to all staff for a few hours.

The discovery of the violations above led those responsible for adopting various corrective measures aimed at implementing data protection at H&M’s Nuremberg headquarters. And that’s not all. The company officially apologised to its employees and undertook to compensate them for a considerable amount. The company also planned to set up a new role with functions to monitor compliance with privacy legislation, replacements of staff at management level, the introduction of specific IT solutions for adequate storage of personal data and additional training for managers on data protection and labour law issues.

Given the seriousness of the violation, the amount of the sanction imposed on H&M – declared the Hamburg data protection commissioner – must be considered adequate and suitable to deter companies from violating the privacy of their employees.

****

H&M SANZIONATO PER 35 MILIONI DI EURO PER VIOLAZIONE DELLA PRIVACY DEI DIPENDENTI

Il 1° ottobre 2020 la Commissione per la protezione dei dati e la libertà di informazione di Amburgo ha sanzionato H&M per 35,3 milioni di euro per aver violato la privacy di diverse centinaia di dipendenti della filiale di Norimberga. Il provvedimento ha comminato la sanzione più alta mai irrogata per violazione della privacy dei lavoratori. La notizia in commento è stata diffusa successivamente al comunicato con il quale H&M ha annunciato la chiusura, nel 2021, di circa 250 negozi.

In particolare, all’esito dell’istruttoria è emerso che, fin dal 2014, H&M raccoglieva dati personali dei propri dipendenti, registrandoli ed archiviandoli digitalmente nella rete informatica aziendale. La schedatura dei dipendenti, inoltre, risultava accessibile ad almeno 50 manager dell’azienda. Le registrazioni erano spesso effettuate con un alto livello di dettaglio e costantemente aggiornate. La società svedese conservava, tra l’altro, dati di natura particolare, quali i dati sulla salute e sulle credenze religiose dei propri dipendenti, nonché informazioni sulla loro vita familiare. Le informazioni in questione venivano raccolte attraverso colloqui cui i lavoratori venivano sottoposti, dopo le assenze per ferie o per malattia, dai responsabili del team di supervisione.

I dati raccolti, oltre che per una valutazione meticolosa delle prestazioni lavorative individuali, venivano utilizzati da H&M anche per ottenere un profilo individuale dei dipendenti, al fine di stabilire misure e prendere decisioni nell’ambito del rapporto di lavoro. L’illecita attività di raccolta dei dati si è tradotta, quindi, in un’ingerenza particolarmente intensa nei diritti delle persone colpite, anche in considerazione della durata e del carattere continuativo del trattamento.

L’attività di profilazione illecita dei dipendenti è diventata nota a causa di un errore di configurazione dei sistemi che, nell’ottobre 2019, per alcune ore aveva reso l’archivio aziendale consultabile da tutto il personale.

La scoperta delle violazioni suddette, ha indotto i responsabili ad adottare diverse misure correttive, volte all’implementazione della protezione dei dati nella sede H&M di Norimberga. Non solo. L’azienda si è scusata ufficialmente con i propri dipendenti e si è impegnata a risarcire loro un importo considerevole. La società ha, altresì, previsto l’istituzione di un nuovo ruolo con funzioni di monitoraggio sul rispetto della normativa privacy, sostituzioni di personale a livello dirigenziale, l’introduzione di specifiche soluzioni IT per un’adeguata archiviazione dei dati personali e una formazione supplementare per i dirigenti sulle tematiche della protezione dei dati e del diritto del lavoro.

Vista la gravità della violazione accertata, l’importo della sanzione inflitta a H&M – ha dichiarato il data protection commissioner di Amburgo – deve ritenersi adeguato ed idoneo a dissuadere le aziende dal violare la privacy dei propri dipendenti.

For more information on this, please contact Avv.Pierangela Rodilosso at rodilosso@pglegal.it

Leave a Comment

shares