Integritetsskyddsmyndigheten (IMY) konstaterade att H&M har behandlat personuppgifter i strid med dataskyddsförordningen (GDPR) eftersom bolaget saknat rutiner för att respektera den registrerades rätt att avböja reklam. Bristen resulterade i en administrativ sanktionsavgift på 350 000 kr.
H&M bröt mot GDPR genom att i sex fall inte utan onödigt dröjsmål upphöra med behandling av personuppgifter för direktmarknadsföringsändamål efter att klaganden invänt mot sådan behandling. Därmed har H&M i de sex fallen behandlat klagandens personuppgifter utan rättslig grund genom att inte säkerställa system och rutiner som i tillräcklig utsträckning underlättat för de klagande att utöva sin rätt till invändning mot direktmarknadsföring.
H&M erbjuder sina kunder tre olika tillvägagångsätt för att motsätta sig marknadsföring via nyhetsbrev. Kunderna kan ändra sin prenumerationsstatus under sina kontoinställningar, avregistrera sig från prenumerationer via en länk som finns i varje utskick av nyhetsbrev eller kontakta bolagets kundtjänst.
Enligt klagomålen har klagandena mottagit oönskade nyhetsbrev från bolaget trots att de har invänt mot att få sina personuppgifter behandlade för direktmarknadsföringsändamål. H&M har medgett att de är personuppgiftsansvariga för den behandling av personuppgifterna som tillsynen omfattar och bekräftar att de mottagit klagandens invändningar och klagomål i samtliga fall.
Enligt Klagomålen har de registrerade invänt mot att få direktmarknadsföring genom att fylla i formuläret via kontoinställningar, att kontakta kundtjänst vid upprepade tillfällen och genom att trycka på länken ”avprenumerera” flera gångar. H&M fortsatte dock att skicka direktmarknadsföring i flera månader efter åtgärderna.
H&M har i samtliga fall medgett att det inte har hanterat begäran om avregistrering i enlighet med sina rutiner men att misstaget inte kan inträffa igen.
Enligt IMY följer det av artikel 12.2 och skäl 59 GDPR att H&M haft en skyldighet att ha interna rutiner för att den registrerade kan utöva sina rättigheter på ett enkelt sätt. Den skyldigheten förutsätter att rutinerna och de system som används kontrolleras regelbundet. Mot bakgrund av att H&M redan i juni 2018 uppmärksammades på brister avseende bland annat avprenumerationsfunktionen bedömer IMY att bolaget dröjt för länge (till oktober 2019) med att åtgärda de brister som förelegat. Därmed har klagandena inte kunnat tillvarata och utöva sina rättigheter enligt dataskyddsförordningen.
Med hänsyn till att H&M har ett automatiserat system, samt att rätten att invända mot direktmarknadsföring är ovillkorlig bedömer IMY att den tid inom vilken bolaget borde ha agerat i de sex enskilda fallen var mycket kort. Hur lång denna tid bör vara måste bedömas med hänsyn till omständigheterna i det enskilda fallet. Mot bakgrund av omständigheterna bedömer IMY att två dagar var en rimlig tid för H&M att agera.
Stockholm den 26 januari 2024
Katarina Ladenfors
