Tyskland: H&M bötfälls med 35,3 miljoner euro för otillåten kartläggning av anställdas privatliv

Dataskyddsmyndigheten i Hamburg, Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (“HmbBfDI”), har bötfällt H&M Hennes & Mauritz Online Shop A.B. & Co. KG. med 35,3 miljoner euro för brott mot dataskyddsförordningen (“GDPR”).

Av HmbBfDI:s pressmeddelande framgår att H&M, med säte i Hamburg, driver ett servicecenter i Nürnberg. H&M har åtminstone sedan 2014 utsatt anställda för omfattande kartläggningar av deras privata levnadsförhållanden. Efter att en anställd varit frånvarande på grund av semester eller sjukdom, har en av företagets teamledare genomfört en så kallad Welcome Back Talk. Vid dessa samtal antecknade H&M uppgifter om såväl konkreta semesterupplevelser som symtom på sjukdom och diagnoser. Därutöver kartlagde H&M anställdas privatliv genom att dokumentera samtal om allt från harmlösa detaljer till familjeproblem och trosbekännelser.

Resultaten lagrades digitalt och var läsbar för upp till 50 andra chefer på företaget. Ibland gjordes även inspelningar innehållandes personliga detaljer om de anställda, inspelningar som H&M också uppdaterade över tid. Förutom en mycket noggrann kartläggning av individuella arbetsprestationer användes även uppgifterna som samlats in bland annat för att skapa profiler på de anställda. Dessa profiler användes därefter av H&M för åtgärder och beslut gentemot de anställda.

H&M:s insamling blev känd i samband med att uppgifterna, under några timmar under oktober 2019, blev tillgängliga i hela företaget på grund av ett konfigurationsfel i en nätverksenhet. Efter att HmbBfDI informerats om insamlingen beordrades företaget att “frysa” innehållet i nätverksenheten helt och hållet. H&M följde HmbBfDI:s anvisningar och lämnade därefter in en uppsättning uppgifter på cirka 60 gigabyte för utvärdering. Efter att HmbBfDI analyserat uppgifterna bekräftades H&M:s omfattande kartläggning av företagets anställda.

Efter upptäckten har ansvariga på H&M vidtagit olika åtgärder. Företaget har bland annat presenterat ett omfattande koncept  för HmbBfDI om hur behandling av personuppgifter ska genomföras vid servicecentret i Nürnberg framöver. För att hantera tidigare händelser har H&M:s ledning inte bara uttryckligen bett om ursäkt till de drabbade, utan också föreslagit att de anställda ska få en betydande ersättning. H&M har därutöver utsett ett nytt dataskyddsombud, infört månatliga uppdateringar av företagets pågående dataskyddsarbete, samt tagit fram ett tydligare skydd för visselblåsare och ett koncept för hur registrerade ska informeras om H&M:s personuppgiftsbehandling.

Mer information

Källa: Pressmeddelande

Relaterade nyheter

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Gå kurs med oss

19 SEP

Introduktion till AI-förordningen

En genomgång av de viktigaste reglerna i den nya AI-förordningen och kunskap om hur du kan utveckla och använda AI-system på ett lagenligt sätt.

21 SEP

Molntjänster & tredjelandsöverföringar

En genomgång av de viktigaste reglerna för tredjelandsöverföringar vid användning av molntjänster enligt GDPR.

05 OKT

NIS 2-direktivet – Cybersäkerhet i praktiken

En genomgång av de viktigaste reglerna i NIS2-direktivet och kompletterande svensk lagstiftning.