Integritetsskyddsmyndigheten (IMY) har utfärdat en sanktionsavgift på 355 000 euro mot H&M Hennes & Mauritz GBC AB för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att IMY inlett en granskning av H&M med anledning av sex klagomål från enskilda som invänt mot att få direktmarknadsföring från bolaget. Klagomålen kommer från personer i Polen, Italien och Storbritannien men har lämnats över till IMY eftersom H&M har sitt huvudkontor i Sverige.
IMY konstaterar att H&M har brutit mot GDPR genom att inte utan onödigt dröjsmål upphöra med att hantera de klagandes personuppgifter för direktmarknadsföring trots att de klagande invänt mot detta. Enligt IMY har H&M inte heller haft tillräckliga system och rutiner på plats för att underlätta för de som klagat att utöva sin rätt att kunna invända mot direktmarknadsföring. IMY konstaterar därmed överträdelser av artiklarna 6.1, 12.2, 12.3 och 21.3 GDPR.