La filiale dell’Autorità per la protezione dei dati ad Amburgo, in Germania, ha multato la società H&M di Norimberga per circa 35,2 milioni di euro (oltre 5,7 miliardi di ISK) per trattamento illegale di informazioni personali sui dipendenti dell’azienda.

La conclusione dell’agenzia afferma che per molti anni H&M ha lavorato con ampie informazioni personali sui propri dipendenti. Le informazioni sono state raccolte attraverso interviste ai dipendenti tenute dopo le ferie e le assenze per malattia di tutti i dipendenti. A seguito delle interviste, le informazioni sono state registrate in un sistema elettronico, così come le informazioni, tra le altre cose, sulla salute e le convinzioni religiose dei dipendenti.

L’azienda ha inoltre lavorato con informazioni dettagliate sulla remunerazione dei dipendenti in questione al fine di predisporre un profilo personale dei dipendenti, che è stato utilizzato, tra l’altro, per prendere decisioni sulla posizione del dipendente in azienda. L’elaborazione è venuta alla luce quando le informazioni sono diventate accessibili a tutti all’interno dell’azienda a seguito di una violazione della sicurezza.

Come detto sopra, la società è stata quindi multata di 35,2 milioni di euro. L’azienda ha inoltre adottato ampie misure per garantire la privacy dei propri dipendenti in futuro, oltre alle quali ha offerto ai dipendenti interessati un risarcimento per la violazione.

Multa di 35,3 milioni di euro per violazioni della protezione dei dati nel centro servizi H&M

Se diverse centinaia di dipendenti dell’H & M Service Center di Norimberga sono monitorati dalla direzione del centro, il Commissario di Amburgo per la protezione dei dati e la libertà di informazione (HmbBfDI) ha una multa di 35.258.707,95 euro contro il negozio online H&M Hennes & Mauritz Emissione di AB & Co. KG.

L’azienda, con sede ad Amburgo, gestisce un centro servizi a Norimberga. Almeno dal 2014, alcuni dei dipendenti hanno avuto ampie registrazioni delle condizioni di vita private. Le note corrispondenti sono state salvate in modo permanente su un’unità di rete. Dopo le ferie e le assenze per malattia, anche brevi, i capigruppo dei superiori hanno tenuto un cosiddetto discorso di bentornato. Dopo queste discussioni, in un certo numero di casi sono state registrate non solo esperienze di ferie specifiche dei dipendenti, ma anche sintomi di malattia e diagnosi. Inoltre, alcuni superiori hanno acquisito un’ampia conoscenza della vita privata dei propri dipendenti attraverso discussioni individuali e di corridoio, che andavano da dettagli innocui a problemi familiari e credenze religiose. I risultati sono stati parzialmente registrati, archiviati digitalmente e talvolta sono stati leggibili da un massimo di 50 altri manager in tutta l’azienda. Le registrazioni a volte sono state effettuate con un alto livello di dettaglio e aggiornate nel tempo. Oltre ad una meticolosa analisi delle prestazioni lavorative individuali, i dati raccolti in questo modo sono stati utilizzati, tra l’altro, per ottenere un profilo dei dipendenti per misure e decisioni nel rapporto di lavoro. La combinazione della ricerca sulla vita privata e la registrazione in corso delle attività svolte ha portato a un’ingerenza particolarmente intensa nei diritti delle persone colpite. Le registrazioni a volte sono state effettuate con un alto livello di dettaglio e aggiornate nel tempo. Oltre ad una meticolosa analisi delle prestazioni lavorative individuali, i dati raccolti in questo modo sono stati utilizzati, tra l’altro, per ottenere un profilo dei dipendenti per misure e decisioni nel rapporto di lavoro. La combinazione della ricerca sulla vita privata e la registrazione in corso delle attività svolte ha portato a un’ingerenza particolarmente intensa nei diritti delle persone colpite. Le registrazioni a volte sono state effettuate con un alto livello di dettaglio e aggiornate nel tempo. Oltre ad una meticolosa analisi delle prestazioni lavorative individuali, i dati raccolti in questo modo sono stati utilizzati, tra l’altro, per ottenere un profilo dei dipendenti per misure e decisioni nel rapporto di lavoro. La combinazione della ricerca sulla vita privata e la registrazione in corso delle attività svolte ha portato a un’ingerenza particolarmente intensa nei diritti delle persone colpite.

La raccolta dei dati è diventata nota perché le note erano accessibili a tutta l’azienda per alcune ore a causa di un errore di configurazione nell’ottobre 2019. Dopo che il commissario di Amburgo per la protezione dei dati e la libertà di informazione è stato informato della raccolta dei dati attraverso i resoconti della stampa, ha prima ordinato il “congelamento” completo del contenuto dell’unità di rete e poi ne ha chiesto il rilascio. L’azienda ha seguito l’esempio e ha presentato un set di dati di circa 60 gigabyte per l’analisi. Dopo aver analizzato i dati, gli interrogatori di numerosi testimoni hanno confermato le pratiche documentate.

La scoperta delle violazioni significative ha indotto i responsabili ad adottare diverse misure correttive. Un concetto completo è stato presentato all’HmbBfDI su come la protezione dei dati deve essere implementata nella sede di Norimberga d’ora in poi. Per fare i conti con gli eventi passati, la direzione aziendale non si è solo scusata espressamente con gli interessati. Ne consegue anche il suggerimento di risarcire ai dipendenti un importo considerevole di danni non burocratici. Si tratta di un impegno senza precedenti nei confronti della responsabilità aziendale dopo una violazione della protezione dei dati. Altri componenti del concetto di protezione dei dati recentemente introdotto includono un coordinatore della protezione dei dati di nuova nomina, aggiornamenti mensili sullo stato della protezione dei dati,

Prof. Dr. Johannes Caspar, rappresentante di Amburgo per la protezione dei dati e la libertà di informazione: Il presente caso documenta un grave disprezzo per la protezione dei dati dei dipendenti presso la sede H&M di Norimberga. L’importo dell’ammenda inflitta è quindi adeguato e idoneo a dissuadere le aziende dal violare la privacy dei propri dipendenti.

Gli sforzi della direzione del gruppo per risarcire gli interessati in loco e ripristinare la fiducia nell’azienda come datore di lavoro sono espressamente positivi. Le informazioni trasparenti fornite dai responsabili e la garanzia della compensazione finanziaria dimostrano chiaramente la volontà di mostrare agli interessati il ​​rispetto e l’apprezzamento che meritano come dipendenti nel lavoro quotidiano per la loro azienda .