Gegevensbeschermingsautoriteit (GBA) har utfärdat en sanktionsavgift på 45 000 euro mot en arbetsgivare för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att ett företag infört ett tidsredovisningssystem, baserat på insamling av fingeravtryck, i sina två lokaler. Företaget använde en programvara som tillhandahölls av ett dotterbolag till ett japanskt företag som även bedriver verksamhet i USA och Kina.
En av företagets anställda lämnade in en begäran om tillgång två gånger. Den första begäran om tillgång besvarades muntligen under ett möte med fackets företrädare och företaget. Det andra svaret täckte endast delvis de frågor som ställts av den registrerade, till exempel genom att tillhandahålla en fragmentarisk förteckning över de ändamål som företaget behandlar personuppgifter eller genom att inte besvara frågan om eventuell vägran att lämna samtycke.
Den registrerade lämnade in ett klagomål till GBA och hävdade att behandlingen av fingeravtryck stred mot dennes rätt till dataskydd. Den registrerade lämnade inte fingeravtrycken frivilligt och informerades inte om lagringsperioderna. Den registrerade uttryckte också tvivel om den adekvata nivån på skyddet i tredjeländer dit uppgifterna kan komma att överföras.
GBA noterade inledningsvis att företaget behandlade biometriska uppgifter enligt artikel 4.14 GDPR, och följaktligen särskilda kategorier av personuppgifter enligt artikel 9.1 GDPR, eftersom de biometriska uppgifterna användes för att identifiera den registrerade. Företaget har dock inte redogjort för vilken rättslig grund enligt artiklarna 6.1 och 9.2 GDPR som användes för att behandla de aktuella uppgifterna. Efter utredningen uppgav GBA att det rörde sig om ett samtycke. Det samtycke som erhölls av företaget gav dock inte den registrerade korrekt information och stred mot artikel 7.1 GDPR. Samtycket gavs inte heller frivilligt, eftersom det var en del av anställningsförhållandet och företaget inte införde någon alternativ mekanism för tidsregistrering. Som en följd av detta bröt företaget mot artiklarna 6.1 (a), 9.1 och 9.2 (a) GDPR.
GBA konstaterade att företaget inte informerat om alla ändamål med behandlingen. I den broschyr som gavs till den registrerade nämndes endast tidsregistrering och behov av säkerhet på platsen. Eftersom behandlingen inte var berättigad fanns det dock inget berättigat ändamål med behandlingen och företaget bröt mot artikel 5.1 (b) GDPR. Företaget bröt dessutom mot artikel 5.1 (c) GDPR, eftersom de förlitade sig på en mekanism som inkräktar på den personliga integriteten för de anställdas tidsregistrering, trots att det fanns andra mindre inkräktande lösningar för att uppnå företaget syften, som exempelvis stämpelklockor eller personliga kort.
Företaget använde en välkomstbroschyr för att informera den registrerade och andra anställda om behandlingen av deras fingeravtryck. Broschyren innehöll dock inte all den information som föreskrivs i artikel 13 GDPR, särskilt inte någon information om den rättsliga grunden för behandlingen. Företaget bröt därför mot artiklarna 12.1, 13.1 och 13.2 GDPR.
GBA ansåg att företagets svar på den första begäran om tillgång var uppfyllt i enlighet med artikel 12 GDPR. Däremot var svaret på den andra begäran ofullständigt, vilket innebar en överträdelse av artikel 12.1 GDPR i förening med artikel 15.1 GDPR.
Utredningen visade också att företaget bröt mot artikel 28 GDPR då det inte gjorts någon kontroll av de tekniska och organisatoriska åtgärder som personuppgiftsbiträdet vidtog. I stället förlitade sig företaget på en broschyr från personuppgiftsbiträdet och personliga förhandlingar med personuppgiftsbiträdets anställda. Ett sådant agerande var otillräckligt enligt artikel 28.1 GDPR.
Företaget har inte heller tagit fram interna policyer som beskriver de tekniska och organisatoriska åtgärder som används, vilket utgjorde en överträdelse av artikel 5.2 GDPR då man inte kunde visa hur åtgärderna kontrollerades eller hur en personuppgiftsincident hanterades.
Vidare har artikel 35 GDPR överträtts då ingen konsekvensbedömning avseende dataskydd utförts, trots att behandlingen omfattade särskilda kategorier av uppgifter om anställda och utgjorde en storskalig behandling. Vidare saknade företagets register över behandlingsaktiviteter bland annat en lämplig beskrivning av de kategorier av uppgifter som behandlades. Till följd av detta bröt företaget mot artikel 30 GDPR.
När det gäller överföringen av uppgifter till tredjeländer betonade GBA att det inte fanns några bevis för överträdelse av kapitel V GDPR. GBA konstaterade inte heller någon överträdelse av artiklarna 28.3 och 37.1 GDPR.