Porušením pravidiel GDPR (skr. Všeobecné nariadenie o ochrane údajov) firmy riskujú veľké pokuty. Nariadenie Európskeho parlamentu a Rady z roku 2016 presne definuje, akým spôsobom môžu byť osobné údaje spracovávané a uchovávané. Firmy, vrátane prevádzkovateľov internetových stránok, musia od ľudí žiadať súhlas so spracúvaním ich osobných údajov. Tieto pravidlá sú pomerne jasné a transparentné. Napriek tomu ich niektoré firmy vedome porušujú.
Odevná značka H&M čelí obrovskej pokute za to, že uchovávala rozsiahle záznamy o rodinných príslušníkoch, vierovyznaní alebo o chorobách svojich zamestnancov. Pravidlá GDPR firma porušila pri stovkách zamestnancov zákazníckeho centra v nemeckom Norimbergu. H&M si chybu priznalo a plánuje svojich zamestnancov odškodniť. Nemecký regulačný úrad mu už medzičasom stihol udeliť pokutu vo výške 35,3 milióna eur. Táto pokuta je druhou najvyššou za porušenie GDPR. Minulý rok udelil francúzsky regulačný úrad pokutu vo výške 50 miliónov eur spoločnosti Google.
Ako uviedol server BBC, H&M porušilo GDPR obzvlášť závažným spôsobom. Uchovávalo detailné informácie o dovolenkách ale aj zdravotných ťažkostiach a diagnózach svojich zamestnancov. Niektorí manažéri firmy tiež v rámci neformálnej online komunikácie s podriadenými zisťovali ich vierovyznanie či rodinné pomery, ktoré následne ukladali na servery a využívali na vyhodnocovanie výkonnosti zamestnancov.