Podjetje H&M Nemčija je bilo s strani nemškega informacijskega pooblaščenca kaznovano za več kot 35 milijonov evrov. Podjetje je o svojih zaposlenih načrtno zbiralo občutljive osebne podatke iz njihovega zasebnega življenja in ga posebej evidentiralo. Nekateri nadrejeni so tako preko zasebnih pogovorov zbirali tudi podatke o družinskih težavah in verskih prepričanjih zaposlenih. Po daljši odsotnosti npr. bolniški odsotnosti ali dopustu, so bili zaposleni povabljeni na kratki razgovor, ki se je pogosto snemal ali drugače digitalno shranil z namenom, da bi bili drugi nadrejeni seznanjeni z dogajanjem. O vsem tem pa so vodili nezakonite evidence, ki so jih vodilni uporabljali pri odločanju, npr. o napredovanju, … V navedenem primeru je šlo za hudo kršitev in posledično drastično kazen.
Tudi v manjših organizacijah moramo biri pozorni na to, da imamo za vsako obdelavo osebnih podatkov ustrezno pravno podlago. Ne zbiramo in beležimo osebnih podatkov, ki jih ne smemo.