GDPR Case 088. Hamburg Commissioner Fines H&M €35.3 Million for Data Protection Violations in Service Centre

日期：2 October 2020

國家：德國

關鍵字：個資侵害事件；合法處理個資；人力資源管理

GDPR：§6 (lawfulness of processing)

裁決：行政罰鍰（€35.3 Million）、命令（適當處理資料）

摘要：

(1) 監管機關對 H&M 服務中心違反資料保護的行為，課處 3,530 萬歐元行政罰款。

(2) 控管者公司地址設在漢堡，並且在紐倫堡設有服務中心。

(3) 至少從 2014 年起，該服務中心就對員工私生活的細節進行廣泛且大規模的紀錄，相關紀錄是永久儲存在公司 IT 系統內。

(4) 在員工休假和病假等缺勤（即使是短暫的缺勤）結束後，負責人會與員工進行了所謂的歡迎會談（Welcome Back Talks），談話後，會將員工的假期體驗予以紀錄，有時候，還會記載員工的疾病、診療結果——如果是病假。

(5) 此外，某些主管還會通過日常談話而對員工的私人生活進行廣泛的了解，從無害的細節，到家庭困擾和宗教信仰等，某些資訊被記錄下來，並且以數位方式進行儲存，而且部分內容可供公司多達 50 多位經理人閱覽。

(6) 有時候，這些紀錄內容非常詳盡，而且是長期的記載，甚至包括這些問題的後續發展，控管者除了將這些紀錄用來評估個人的工作表現外，甚至還會用以剖繪員工與公司之間的僱傭關係，控管者這種廣泛行為蒐集員工私生活細節的行為，讓員工強烈地感到公民權被冒犯。

(7) 在2019 年 10 月間，因為內部系統設定錯誤，前述個人資料的紀錄有數個小時在全公司內可以被公開閱覽，也使得控管者上述違法行為為人所知。

(8) 監管機關對控管者採取各式糾正行為，並且課以高額行政罰鍰。