Švedsko nadzorno tijelo utvrdilo je da je H&M obrađivao osobne podatke za izravni marketing kršeći članke 6(1), 12(2), 12(3) i 21(3) GDPR-a. Šest različitih pritužbi podneseno je nadzornim tijelima zbog H&M-ove prakse izravnog marketinga.
S obzirom na to da je H&M tvrtka sa sjedištem u Švedskoj, švedsko nadzorno tijelo odgovorno je prema članku 56. GDPR-a. No, pritužbe su proslijeđene DPA Poljske, Italije i Ujedinjenog Kraljevstva.
Prema pritužbama, ispitanici su primali neželjene newslettere od tvrtke unatoč činjenici da su se protivili obradi njihovih osobnih podataka u svrhe izravnog marketinga. H&M je ponudio svojim ispitanicima tri načina prigovora: da mogu promijeniti svoj status pretplate u postavkama svog računa, da mogu otkazati pretplatu putem poveznice koja se nalazi u svakom slanju newslettera ili da se mogu obratiti korisničkoj službi društva. U svakoj pritužbi ispitanici su podnijeli dokaze da su koristili te opcije, ali su i dalje primali H&M-ove marketinške newslettere.
S obzirom na to da se radilo o prekograničnoj obradi, švedsko nadzorno tijelo upotrijebilo je mehanizme navedene u Poglavlju VII. GDPR-a. Zainteresirana nadzorna tijela su Njemačko, Slovenije, Francuske, Danske, Španjolske, Norveške, Italije, Finske, Poljske, Belgije, Portugala, Cipra, Estonije i Nizozemske.
Zbog Brexita i s obzirom na to da su dvije od šest žalbi podnesene u Ujedinjenom Kraljevstvu, švedsko tijelo kontaktiralo je i nadzorno tijelo Ujedinjenog Kraljevstva (ICO) kako bi osiguralo da se izbjegne situacija ne bis in idem. Iz ICO-a su odgovorili da nemaju informaciju da su poduzeli bilo kakve korektivne mjere u vezi s pritužbama. Primjećeno je da ICO-ovo razdoblje zadržavanja pritužbi iznosi dvije godine te stoga nisu zadržali nikakve informacije o pritužbama. Švedsko nadzorno tijelo je smatralo da Brexit nije prepreka jer je sjedište voditelja obrade bilo u Uniji.
Švedsko nadzorno tijelo je odlučilo da su, u vezi sa šest pritužbi, postojali nedostaci u internom postupku za postupanje s prigovorima prema članku 21. stavku 2. GDPR-a, što je dovelo do toga da podnositelji pritužbi nisu mogli jednostavno pristupiti i ostvariti svoja prava prema GDPR-u.
Utvrđeno je da je također došlo do kršenja članaka 21(3), 12(3) i 6(1) GDPR. Ako se ispitanik usprotivi izravnom marketingu prema članku 21. stavku 2. GDPR-a, članak 21. stavak 3. GDPR-a predviđa da se osobni podaci više ne obrađuju u takve svrhe. Činjenica da je H&M nastavio obrađivati podatke znači da ne može postojati pravna osnova ni za obradu prema članku 6. stavku 1. GDPR-a. Budući da je pravo na prigovor na izravni marketing prema članku 21. stavku 2. GDPR-a bezuvjetno, nema mjesta pojedinačnoj procjeni treba li takav prigovor prihvatiti.
Članak 21(3) GDPR također zahtijeva djelovanje bez nepotrebnog odgađanja (najviše unutar mjesec dana). Pregledana je svaka pritužba i utvrđeno je da je H&M-u trebalo predugo da reagira. Kako je H&M tako velika tvrtka, važno je da ima funkcionalne procese za brzo rješavanje zahtjeva ispitanika za prigovor.
Švedski DPA kaznio je H&M sa 350.000 SKE (oko 30.362 eura).
