GDPR-bot

H&M må betale flere hundre millioner kroner i bot etter personvernskandale

Avdeling samlet systematisk inn følsom og privat informasjon om de ansatte.

H&M-avdeling i Tyskland registrerte både de ansattes ferioopplevelser og diagnoser i en hemmelig database.
H&M-avdeling i Tyskland registrerte både de ansattes ferioopplevelser og diagnoser i en hemmelig database. (Foto: mediaphoto.org/Wikimedia (CC BY 3.0))

Avdeling samlet systematisk inn følsom og privat informasjon om de ansatte.

Den svenske H&M-gruppen (Hennes & Mauritz) skriver i selskapets nyeste kvartalsrapport at selskapet har belastet salgskostnadene med 35 millioner euro, omtrent 382 millioner kroner, for å betale en sanksjonsavgift som selskapet har blitt ilagt av datatilsynet i Hamburg, Tyskland. 

Ifølge rapporten skyldes gebyret en intern personopplysningshendelse ved et servicesenter i Nürnberg. Ifølge selskapet var det det selv som varslet myndighetene om hendelsen. 

H&M-gruppen opplyser at den har innrømmet det som skjedde og at det er gjort kraftfulle tiltak for å rette opp i det som skjedde. 

Ifølge Computersweden fikk hendelsen mye oppmerksomhet i Tyskland i fjor. Det aktuelle servicesenteret skal ha samlet inn følsomme opplysninger om de ansatte. 

Les også

Helseopplysninger og ferieopplevelser

Datatilsynet i Hamburg bekrefter til dels opplysningene i en pressemelding som kom torsdag denne uken. Her opplyses det at den aktuelle databasen har vært i bruk i alle fall siden 2014, og at den nøyaktige størrelsen på gebyret er på 35,3 millioner euro.

Dersom ansatte ved avdelingen i Nürnberg hadde fravær på grunn av sykdom eller ferie, ble de innkalt av ledelsen til en «Welcome Back Talk». Dette gjaldt også ved kortere fravær. Under disse møtene ble det registrert i detalj hva de ansatte gjorde under feriene, men også sykdommer og diagnoser. Private opplysninger om familieforhold og lignende skal ha blitt registrert i databasen etter det som kunne framstå som uskyldige og tilfeldige samtaler. 

Så mange som 50 personer i ledelsen lokalt hadde i perioder tilgang til opplysningene. Opplysningene ble brukt til å lage profiler av de ansatte, som igjen ble brukt i forbindelse med tiltak og beslutninger angående ansettelsesforholdet til den enkelte. 

Oppdaget etter teknisk feil

En teknisk feil førte til at databasen ble gjort tilgjengelig for hele virksomheten i noen timer i oktober 2019. Datatilsynet i Hamburg, Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, opplyser i pressemeldingen at det fikk vite om hendelsen via pressen. Det beordret H&M til å låse dataene og å få dem utlevert for analyse. Det skal ha dreid seg om et datasett på rundt 60 gigabyte. 

Ifølge datatilsynet i Hamburg har ledelsen i H&M-gruppen ikke bare vært raske med å gi de ansatte en unnskyldning. Den har også foreslått at hver av de berørte skal motta et betydelig beløp i erstatning. Dette får H&M-gruppen ros for av datatilsynet i Hamburg, som omtaler denne forpliktelsen som hittil enestående etter et datavernbrudd.

– Den aktuelle saken dokumenterer alvorlig ringeakt for de ansattes datavern ved H&M Nürnberg-avdelingen. Størrelsen på boten er derfor hensiktsmessig og egnet til å avskrekke selskaper fra å krenke personvernet til sine ansatte, sier Johannes Caspar, som leder datatilsynet i Hamburg, i pressemeldingen. 

Les også

Kommentarer (0)

Kommentarer (0)
Til toppen