Tyskland: H&M bötfälls med 35,3 miljoner euro för otillåten kartläggning av anställdas privatliv

Dataskyddsmyndigheten i Hamburg, Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (“HmbBfDI”), har bötfällt H&M Hennes & Mauritz Online Shop A.B. & Co. KG. med 35,3 miljoner euro för brott mot dataskyddsförordningen (“GDPR”).

Av HmbBfDI:s pressmeddelande framgår att H&M, med säte i Hamburg, driver ett servicecenter i Nürnberg. H&M har åtminstone sedan 2014 utsatt anställda för omfattande kartläggningar av deras privata levnadsförhållanden. Efter att en anställd varit frånvarande på grund av semester eller sjukdom, har en av företagets teamledare genomfört en så kallad Welcome Back Talk. Vid dessa samtal antecknade H&M uppgifter om såväl konkreta semesterupplevelser som symtom på sjukdom och diagnoser. Därutöver kartlagde H&M anställdas privatliv genom att dokumentera samtal om allt från harmlösa detaljer till familjeproblem och trosbekännelser.

Resultaten lagrades digitalt och var läsbar för upp till 50 andra chefer på företaget. Ibland gjordes även inspelningar innehållandes personliga detaljer om de anställda, inspelningar som H&M också uppdaterade över tid. Förutom en mycket noggrann kartläggning av individuella arbetsprestationer användes även uppgifterna som samlats in bland annat för att skapa profiler på de anställda. Dessa profiler användes därefter av H&M för åtgärder och beslut gentemot de anställda.

H&M:s insamling blev känd i samband med att uppgifterna, under några timmar under oktober 2019, blev tillgängliga i hela företaget på grund av ett konfigurationsfel i en nätverksenhet. Efter att HmbBfDI informerats om insamlingen beordrades företaget att “frysa” innehållet i nätverksenheten helt och hållet. H&M följde HmbBfDI:s anvisningar och lämnade därefter in en uppsättning uppgifter på cirka 60 gigabyte för utvärdering. Efter att HmbBfDI analyserat uppgifterna bekräftades H&M:s omfattande kartläggning av företagets anställda.

Efter upptäckten har ansvariga på H&M vidtagit olika åtgärder. Företaget har bland annat presenterat ett omfattande koncept  för HmbBfDI om hur behandling av personuppgifter ska genomföras vid servicecentret i Nürnberg framöver. För att hantera tidigare händelser har H&M:s ledning inte bara uttryckligen bett om ursäkt till de drabbade, utan också föreslagit att de anställda ska få en betydande ersättning. H&M har därutöver utsett ett nytt dataskyddsombud, infört månatliga uppdateringar av företagets pågående dataskyddsarbete, samt tagit fram ett tydligare skydd för visselblåsare och ett koncept för hur registrerade ska informeras om H&M:s personuppgiftsbehandling.

Du kan läsa pressmeddelandet, endast tillgängligt på tyska, här.

Vill du lära dig mer om GDPR och informationssäkerhet kan du läsa om våra aktuella kurser här.

Vill du ha hjälp med rådgivning i frågor om IT och dataskydd kan du läsa mer här.

Relaterade nyheter

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Gå kurs med oss

06 OKT

Säkerhet för
icke-tekniker

Få en övergripande introduktion till säkerhet vid behandling av personuppgifter.

13 OKT

Privacy by Design
& Privacy by Default

Öka dina kunskaper om GDPR:s krav på inbyggt dataskydd och dataskydd som standard.

10 NOV

Artificiell intelligens & personuppgifter

Få en genomgång av de viktigaste reglerna för AI ur ett dataskyddsperspektiv.