Datainspektionen i Hamburg beskriver för SVT att man utreder vad man kallar ett massivt brott mot dataskyddsreglerna, i en omfattning man inte sett på flera år. 60 gigabyte känslig information om personal har samlats in och uppgifterna ska ha varit tillgängliga för en mängd olika chefer på H&M.

Datainspektionens generaldirektör i Hamburg, Johannes Caspar, menar att H&M ”systematiskt och detaljerat” lagrat uppgifter om anställdas hälsotillstånd, alltifrån cancer till urinläckage och inte minst detaljer i privatlivet, som uppgifter om gräl i familjen, semesterupplevelser och information om vänner och husdjur.

De tyska myndigheterna vill inte i dag säga något om vilken nivå eventuella böter kan landa på, man har nu givit H&M ett par veckor för att förklara sig. H&M har i ett officiellt uttalande sagt att man ser allvarligt på ärendet och företaget rapporterade själv in händelsen, men man har enligt tyska myndigheten bara erkänt att misstaget varit att känsliga uppgifter funnits tillgängliga för en för stor krets anställda i företaget.

Samma GDPR-regler i hela EU

GDPR-reglerna är hårda och desamma i hela EU. Enligt juristen Evelin Palmér på svenska datainspektionen krävs att man följer principen om dataminimering – alltså att man som princip skall spara så lite som möjligt och att man har rutiner för att radera sådant som inte får sparas.

– Företag får bara spara uppgifter som de har ett relevant behov av. Allt annat skall slängas, säger hon och fortsätter:

– Och för information som är särskilt känslig - som sjukdomar - så är kraven ännu högre på att man måste kunna motivera varför en uppgift finns sparad.