H&M har sedan 2014 behandlat personuppgifter om de anställdas privatförhållanden och lagrat informationen på en nätverksenhet. Företaget har bl.a. genomfört ett s k "Welcome Back Talk" efter att anställda återvände till jobbet efter semester eller sjukdom. Den information som blev känd i detta sammanhang - inklusive information om sjukdomssymtom och diagnoser hos de anställda - registrerades och lagrades. Dessutom har företaget behandlat personuppgifter rörande familjeproblem och religiösa övertygelser., vilket alltså utgör s k känsliga personuppgifter vilka enligt huvudregeln inte får behandlas alls.

Informationen som lagrats på nätverksenheten var tillgänglig för 50 chefer i företaget och användes bland annat för att utvärdera de anställdas arbetsprestanda och för att fatta anställningsbeslut. Datainsamlingen blev känd på grund av ett tekniskt konfigurationsfel i oktober 2019, de känsliga personuppgifterna var i samband med detta tillgängliga för hela företaget i flera timmar.

Efter att överträdelsen blev känd har ledningen bett de anställda om ursäkt och erbjudit ekonomisk ersättning. Dessutom infördes ytterligare skyddsåtgärder tillsammans med den tyska dataskyddsmyndigheten.

Överträdelsen relaterar huvudsakligen till artikel 5 och 6 GDPR, nämligen regleringarna om de grundläggande principerna samt de lagliga grunderna för att behandla personuppgifter.

___

Se närmare hur vi arbetar med GDPR och hur ni kan undvika höga sanktionsavgifter.