1 октября надзорный орган в области защиты персональных данных Гамбурга (HmbBfDI) опубликовал пресс-релиз о штрафе компании H&M в размере 35.3 млн. евро за нарушение требований GDPR сервисным центром H&M в Гамбурге.
Что нарушил H&M:
С 2014 года часть H&M собирал подробную информацию о работниках сервисного центра (после возвращения из отпуска или болезни руководители подразделений проводили «беседы», в ходе которых работник делился информацией личного характера, включая сведения о здоровье, которая фиксировалась на сетевом диске компании).
- Указанная информация была доступна примерно 50 менеджерам компании
- Данные использовались в том числе для принятия управленческих решений в отношении работников;
- В октябре 2019 года H&M сообщил об инциденте информационной безопасности в своём сервисном центре надзорному органу Гамбурга, вследствие чего стало известно о нарушениях.
HmbBfDI пришёл к выводу о злостных нарушениях GDPR компанией вследствие сбора избыточных данных и их вторичного использования.
Данный штраф является одним из самых серьезных за 2020 год и вынесен в отношении крупнейшей розничной сетью по торговле одеждой в Европе.