1. yle.fi
  2. Uutiset
  3. tietosuoja

H&M-vaatekauppaketju sai 35 miljoonan euron sakon työntekijöidensä henkilökohtaisten tietojen keräämisestä Saksassa

Johtajien käyttöön kerätyssä tietopankissa listattiin muun muassa sairauksiin ja uskontoon liittyviä asioita.

H&M on pahoitellut työntekijöidensä tietojen keräämistä ja muuttanut toimintaansa. Kuvituskuva on otettu Stuttgartissa toukokuussa 2020. Kuva: Ralph Peters / AOP

Saksassa tietosuojaviranomaiset ovat määränneet ruotsalaisen H&M-vaatekauppaketjun maksamaan 35 miljoonan euron suuruisen rangaistusmaksun työntekijöiden henkilökohtaisten tietojen keräämisen vuoksi.

Ketjun johtotehtävissä työskenteleviä varten yhtiön Nürnbergin palvelukeskuksessa oli kerätty tietokantaa muun muassa työntekijöiden sairauksista, lomista, perhesuhteista ja uskontoon liittyvistä asioista.

Ylös oli kirjattu esimerkiksi yksityiskohtaisia kuvailuja työntekijöiden oireista ja diagnooseista. Tietoihin pääsi käsiksi noin 50 johtotehtävissä toimivaa.

Tiedonkeruu tietokantaan oli jatkunut ainakin vuodesta 2014 alkaen kunnes se paljastui lokakuussa 2019 tietokonehäiriön myötä. Häiriö aiheutti sen, että tiedot olivat muutaman tunnin ajan laajemman joukon nähtävissä.

Viranomaisten mukaan tiedonkeruu rikkoi työntekijöiden tietosuojaa. H&M on pahoitellut ja kertonut muuttaneensa toimintaansa.

H&M:n maksettavaksi määrätty rangaistusmaksu on suurin Saksassa sen jälkeen, kun tietosuojalainsäädäntö uudistui kaksi vuotta sitten. Maksu on myös yksi suurimmista EU:n tietosuoja-asetukseen liittyvistä rangaistuksista unionin alueella.

Britannian viranomaiset määräsivät heinäkuussa 2019 British Airwaysin maksamaan 201 miljoonaa euroa tietomurron jälkeen. Google sai puolestaan Ranskan viranomaisilta tammikuussa 2019 50 miljoonan euron rangaistuksen laiminlyönneistä tiedonkeruusta informoimisessa.

Vuonna 2018 voimaan tullut EU:n tietosuoja-asetus (siirryt toiseen palveluun) määrää, että tiedonkeruuseen tarvitaan erikseen annettu lupa henkilöltä, jota se koskee tai että tiedonkeruu täyttää jonkun muun asetetuista vaatimuksista.

1.10. klo 22.26 Täsmennetty viimeistä kappaletta: Henkilökohtainen lupa on yksi tapa täyttää tietosuoja-asetuksen vaatimukset, muttei ainoa.

Lue myös:

Suomessa määrättiin ensi kertaa tietosuojarikkomusmaksuja – Postille lankesi 100 000 euroa muuttoilmoituskäytännöistä

Suomi ei olekaan EU-tietosuojan mallioppilas – Tutkijoiden mukaan Suomi toimii laittomasti nettiseurannan valvonnassa

Sitran selvitys kyseenalaistaa EU:n tietosuoja-asetuksen toimivuuden

Google sai voiton EU:n tuomioistuimessa – oikeus tulla unohdetuksi ei ole globaali

Suomalaiset tuntevat oikeutensa ja ilmoittavat tietosuoja-asioista ennätystahtia

Tietosuoja-asetus kiristää datan käyttöä – Tuleeko Euroopasta tekoälyn takapajula?