I december blev det känt att den svenska klädjätten H&M i hemlighet hade samlat in och lagrat detaljerad information om sina anställda på ett callcenter i tyska Nürnberg.

Totalt handlar det om drygt 60 gigabyte känslig information om sådant som personalens sjukdomar, familjeproblem och kvinnliga medarbetares problem kopplade till menscykeln. Uppgifterna ska, utan personalens kännedom, ha lagrats i ett dataregister, som ett stort antal chefer har tillgång till, rapporterar SVT Nyheter.

Det finns misstankar om att uppgifterna har samlats in för att avgöra vilka medarbetare som inte ska få behålla sina jobb. Merparten av de omkring 600 medarbetarna som berörs har tidsbegränsade kontrakt, skriver Dagens Nyheter.

Det tyska fackförbundet Verdi är kritiskt till hur klädbolaget har hanterat information om sin personal, och hävdar att informationsinsamlandet har pågått i flera år.

Unionens ser också allvarligt på det som inträffat i Tyskland.

– Det låter absurt, helt orimligt. Frågan är vad syftet har varit. Och om det kan finnas ytterligare uppgifter registrerade om till exempel åsikter och fackliga företrädare. Jag vet inte om det här bara förkommer i Tyskland, säger Mikael Svensson, ombudsman på Unionen.

I en skriftlig kommentar till DN skriver H&M:s huvudkontor i Stockholm att skydd av personuppgifter har hög prioritet för dem.

Läs mer: H&M röstade nej till levnadslöner

”Så fort händelsen uppdagades tog givetvis personuppgiftsansvarig i Tyskland omedelbart kontakt med de lokala dataskyddsmyndigheterna som nu utreder händelsen. Det är naturligtvis oacceptabelt att vi har medarbetare som blivit drabbade av detta. H&M Tyskland har vidtagit ett antal åtgärder och för en dialog med berörda," uppgav H&M:s presskontakt Lottie Karlsson.

Datainspektionen i Hamburg utreder nu företaget för ett ”massivt brott mot dataskyddsreglerna.

Ska ha kartlagt anställda även i Sverige

Efter kritiken mot att personuppgifter lagrats i Tyskland anklagas nu klädbolaget även för att kartlägga sin personal i Sverige. På måndagen rapporterade SVT att känsliga uppgifter om en tidigare anställd designer på H&M:s huvudkontor i Stockholm ska ha lagrats. Enligt kvinnan handlar det om 200 sidor information om hennes medicinering, familjerådgivning och sådant som hon sagt i förtroende till sin chef.

På en fråga från SVT ville H&M:s nya vd Helena Helmersson varken dementera eller bekräfta att bolaget lagrar känsliga uppgifter om sina anställda.

– Det låter väldigt märkligt och jag har inte insyn i det. Jag vet vilka regler vi har och det är ju superstrikt att följa de lagar som finns. Det är superviktigt för oss.

En arbetsgivare får, enligt dataskyddsförordningen GDRP, samla in och behandla information om anställda, som behövs för anställningsförhållandet. Arbetsgivare har dock en långtgående informationsskyldighet och ska vara öppna med vilka personuppgifter de samlar in om sina anställda. Och uppgifterna ska vara adekvata, relevanta och inte fler än vad som verkligen behövs.

Är det fråga om känsliga personuppgifter om hälsa gäller ännu strängare krav för att det ska vara tillåtet att behandla uppgifterna. Det kan till exempel vara tillåtet att lagra uppgifter om hälsa för att beräkna sjuklön, utreda frånvarorätt eller inleda en rehabiliteringsutredning.

– Det är alltså inte tillåtet att samla in eller bevara uppgifterna slentrianmässigt, säger Katarina Högquist, jurist på Datainspektionen.

Unionens förbundsjurist Pierre Dahlqvist tillägger att det avgörs från fall till fall om det är tillåtet att lagra personuppgifter. Information om sjukdomar och medicinering får därmed lagras i vissa fall.

– Såvitt avser uppgift om familjeproblem kan det ifrågasättas i vilken mån detta är nödvändigt att arbetsgivaren behandlar, säger han.

Datainspektionen i Sverige avgör om tillsyn av en verksamhet ska göras.

– Vi känner till tillsynen i Tyskland och vi kommer att ta ställning till om det finns skäl för oss att inleda tillsyn här. Vi kan inte ge något närmare besked än så i dagsläget, säger Katarina Högquist.

Efter att artikeln publicerats beskriver H&M Sverige vilken slags uppgifter som registreras om anställda.

”H&M-gruppen har tydliga riktlinjer kring vilken information som får sparas om enskilda medarbetare, där vi följer GDPR och lokal lagstiftning. Den information som sparas kan exempelvis vara uppgifter för att kunna hantera anställning och betala ut lön, utvecklingsplaner samt information kring exempelvis en pågående rehabilitering. Vi har som arbetsgivare ett omfattande rehabiliteringsansvar och utifrån det ansvaret är vi skyldiga att följa de lagar och regler som gäller inom området. Det kan till exempel gälla arbetsmiljölagen, arbetsmiljöföreskrifter och socialförsäkringsbalken”, skriver Danielle Kisch, presskontakt H&M Sverige, i en mejlkommentar till Kollega.