JUSS OG SAMFUNN

H&M må betale flere hundre millioner kroner i bot etter personvernskandale

Avdeling samlet systematisk inn følsom og privat informasjon om de ansatte.

H&M-avdeling i Tyskland registrerte både de ansattes ferioopplevelser og diagnoser i en hemmelig database.
H&M-avdeling i Tyskland registrerte både de ansattes ferioopplevelser og diagnoser i en hemmelig database. Foto: mediaphoto.org/Wikimedia (CC BY 3.0)
Harald BrombachHarald BrombachNyhetsleder
2. okt. 2020 - 09:49

Den svenske H&M-gruppen (Hennes & Mauritz) skriver i selskapets nyeste kvartalsrapport at selskapet har belastet salgskostnadene med 35 millioner euro, omtrent 382 millioner kroner, for å betale en sanksjonsavgift som selskapet har blitt ilagt av datatilsynet i Hamburg, Tyskland. 

Ifølge rapporten skyldes gebyret en intern personopplysningshendelse ved et servicesenter i Nürnberg. Ifølge selskapet var det det selv som varslet myndighetene om hendelsen. 

H&M-gruppen opplyser at den har innrømmet det som skjedde og at det er gjort kraftfulle tiltak for å rette opp i det som skjedde. 

Ifølge Computersweden fikk hendelsen mye oppmerksomhet i Tyskland i fjor. Det aktuelle servicesenteret skal ha samlet inn følsomme opplysninger om de ansatte. 

Folks politiske tilhørighet og ståsted er sensitive personopplysninger, sier Janne Stang Dahl i Datatilsynet.
Les også

Datatilsynet krever Nammo-svar om aktivist-kartlegging

Helseopplysninger og ferieopplevelser

Datatilsynet i Hamburg bekrefter til dels opplysningene i en pressemelding som kom torsdag denne uken. Her opplyses det at den aktuelle databasen har vært i bruk i alle fall siden 2014, og at den nøyaktige størrelsen på gebyret er på 35,3 millioner euro.

Dersom ansatte ved avdelingen i Nürnberg hadde fravær på grunn av sykdom eller ferie, ble de innkalt av ledelsen til en «Welcome Back Talk». Dette gjaldt også ved kortere fravær. Under disse møtene ble det registrert i detalj hva de ansatte gjorde under feriene, men også sykdommer og diagnoser. Private opplysninger om familieforhold og lignende skal ha blitt registrert i databasen etter det som kunne framstå som uskyldige og tilfeldige samtaler. 

Så mange som 50 personer i ledelsen lokalt hadde i perioder tilgang til opplysningene. Opplysningene ble brukt til å lage profiler av de ansatte, som igjen ble brukt i forbindelse med tiltak og beslutninger angående ansettelsesforholdet til den enkelte. 

Oppdaget etter teknisk feil

En teknisk feil førte til at databasen ble gjort tilgjengelig for hele virksomheten i noen timer i oktober 2019. Datatilsynet i Hamburg, Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, opplyser i pressemeldingen at det fikk vite om hendelsen via pressen. Det beordret H&M til å låse dataene og å få dem utlevert for analyse. Det skal ha dreid seg om et datasett på rundt 60 gigabyte. 

Ifølge datatilsynet i Hamburg har ledelsen i H&M-gruppen ikke bare vært raske med å gi de ansatte en unnskyldning. Den har også foreslått at hver av de berørte skal motta et betydelig beløp i erstatning. Dette får H&M-gruppen ros for av datatilsynet i Hamburg, som omtaler denne forpliktelsen som hittil enestående etter et datavernbrudd.

– Den aktuelle saken dokumenterer alvorlig ringeakt for de ansattes datavern ved H&M Nürnberg-avdelingen. Størrelsen på boten er derfor hensiktsmessig og egnet til å avskrekke selskaper fra å krenke personvernet til sine ansatte, sier Johannes Caspar, som leder datatilsynet i Hamburg, i pressemeldingen. 

Hvis vedtaket fra Datatilsynet blir stående, blir det vanskeligere for selskaper som Grindr å konkurrere mot andre tilbydere av sammenlignbare tjenester som ikke assosieres med LGBTQ+-fellesskapet, mener Kelly Peterson Miranda i Grindr.
Les også

Grindr går til sak for å forsvare brukernes rettigheter

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.
Tekjobb
Se flere jobber
En tjeneste fra