A Hennes & Mauritz (H&M) uma das maiores varejistas de moda do mundo, presentes em 74 mercados e com mais de 5.000 lojas espalhadas pelo mundo, recebeu no dia 01/10/2020 a maior multa já cobrada pela Lei de proteção de Dados da Europa, a GDPR envolvendo tratamento de Dados de colaboradores da própria empresa, € 35 milhões (mais de 200 milhões de reais). A multa foi aplicada pelo órgão regulador da Autoridade de Proteção de Dados de Hamburgo (HmbBfDI) por uso excessivo de dados de funcionários. A H&M emprega cerca de 126.000 pessoas em todo o mundo.
O órgão regulador da Autoridade de Proteção de Dados de Hamburgo começou uma investigação no Centro de Serviços da H&M em Nuremberg depois que uma violação de dados em 2019 causada por um erro de configuração revelou quantos dados a H&M Alemanha estava coletando sobre a vida privada de seus funcionários. A autoridade descobriu que, pelo menos desde 2014, a H&M vinha coletando e armazenando na rede da sua empresa uma grande quantidade de dados sobre as experiências de férias, questões familiares, crenças religiosas, sintomas de doenças e diagnósticos de seus colaboradores
Os dados eram coletados durante conversas individuais entre funcionários e seus supervisores, e durante "conversas de boas-vindas" realizadas entre funcionários e líderes de equipe após uma ausência do trabalho. Alguns dos dados estavam acessíveis a até 50 outros gerentes.
Depois de avaliar 60 GB de dados da H&M e revisar as evidências das testemunhas e os procedimentos internos da empresa, o Órgão regulador concluiu que "a combinação da coleta de detalhes sobre suas vidas privadas e o registro de suas atividades levou a uma violação particularmente intensa dos direitos civis dos funcionários".
A H&M posteriormente comunicou que pediu desculpas a seus funcionários e confirmou que uma compensação financeira seria concedida a todos os empregados da entidade impactada desde maio de 2018, quando o GDPR se tornou lei.
