En häpnadsväckande historia rullades upp i tyska medier i slutet av 2019, då det uppdagades att H&M:s tyska servicecenter övervakat hundratals anställda och samlat in privata och känsliga uppgifter om de anställda i ett hemligt dataregister.

Registret innehöll detaljer om semestrar, familjeförhållanden, religionstillhörighet och medicinska uppgifter – som sedan användes för att utvärdera arbetsprestationer.

Genom ett tekniskt fel avslöjades registret, varefter H&M själva anmälde det hela till tillsynsmyndigheter, enligt GDPR.

När H&M sedan i oktober 2020 presenterade sin delårsrapport tog de i ett avsnitt upp att de tilldömts böter av den regionala dataskyddsmyndigheten i Hamburg på 35 miljoner euro, motsvarande 367 miljoner kronor, för den här överträdelsen.

”H&M-gruppen tillstår att fel har begåtts på servicecentret och kraftfulla åtgärder har gjorts för att rätta till det inträffade”, kommenterade bolaget i rapporten.

En av de absolut högsta hittills

Det här var årets, åtminstone dittills, högsta GDPR-bot, och en av de absolut högsta sanktionerna hittills.

Bara Google har hittills åkt på ett högre straff, då de dömts av franska dataskyddsmyndigheten att betala 50 miljoner euro, eftersom de inte levt upp till GDPR:s krav på att tydligt informera användarna om hur personliga data hanteras.

Men även om H&M är ett svenskt bolag var det här således inte ett svenskt ärende. Men svenska Datainspektionen har haft fullt upp ändå.

När finansnyhetssajten Finbold tidigt i höstas gjorde en sammanställning stod det klart att Sverige är det land i Europa, efter Italien, där det dömts ut mest böter (det ska dock tilläggas att Italien vid det här tillfället var överlägsen etta).

Här är i alla fall några av de incidenter som svenska Datainspektionen beslutat om under 2020:

  • En forskargrupp vid Umeå universitet har av misstag bifogat känsliga personuppgifter kring våldtäkter av män i okrypterad e-post till Polisen. Dessutom har uppgifterna legat hos molntjänsten Box utan att tillräckliga tekniska åtgärder vidtagits. Datainspektionen dömer ut en sanktionsavgift på 550 000 kronor.
  • Sju vårdgivare får GDPR-böter – för att inte ha gjort riskanalyser som krävs. I en granskning av hur åtta vårdgivare styr personalens åtkomst till huvudjournalsystemen visar alla åtta brister. Datainspektionen beslutar om sanktionsavgifter mot sju av dem.
  • Stora brister i Stockholms skolplattform – får GDPR-bot på fyra miljoner. Datainspektionen pekar i en granskning ut ett antal brister i fyra delsystem i Skolplattformen som används för elevadministration i Stockholms skolor. Bristerna är så allvarliga att stadens utbildningsnämnd åläggs att betala fyra miljoner kronor i sanktionsavgift.
  • Publicerade känsliga personuppgifter – döms att betala 120 000. Datainspektionen konstaterar att det var fel att publicera känsliga personuppgifter på webben. Hälso- och sjukvårdsnämnden i Region Örebro län ska nu betala 120 000 kronor och åläggs att uppdatera sina rutiner.
  • Statens Servicecenter ska betala 200 000 för att ha brutit mot GDPR. De dröjde flera månader med att informera Datainspektionen och berörda myndigheter om ett säkerhetshål i sitt lönehanteringssystem. Detta resulterade i en sanktionsavgift på 200 000 kronor.