Datatilsynet anser att det finns skäl att framföra allvarlig kritik mot att Fitness World A/S behandling av personuppgifter inte har skett i enlighet med reglerna i dataskyddsförordningen (GDPR). Datatilsynet finner också att Fitness Worlds behandling av uppgifter genom kamerabevakning om anställda har skett inom ramen för gällande regelverk.
Av beslutet framgår att Datatilsynet, på grundval av ett antal specifika förfrågningar från tidigare anställda, på eget initiativ inlett ett ärende om bland annat Fitness Worlds kamerabevakning av anställda. Av förfrågningarna framgår att de anställda inte har informerats om syftet med kamerabevakningen samt att inspelningarna i efterhand har använts för att ge skriftliga varningar till anställda. Förfrågningarna innehöll även uppgifter om att Fitness World inte säkrat de anställdas uppgifter tillräckligt, eftersom en lokal chef laddat ner och lagrat information om bland annat uppsägningar, kontrakt, skriftliga varningar, läkarintyg och kamerainspelningar lokalt på en delad dator som var fritt tillgänglig för övriga anställda. Enligt förfrågningarna kunde informationen också kommas åt av medlemmarna, eftersom datorn inte var låst efter användning.
När arbetsgivare vill starta kamerabevakning på arbetsplatsen måste de enligt Datatilsynet bland annat se till att det finns saklig anledning och att övervakningen inte är mer omfattande än nödvändigt. Samtidigt ska arbetsgivaren se till att förse de anställda med en rad information om kamerabevakningen, inklusive syftet med övervakningen och hur länge inspelningarna sparas. Om uppgifterna används för att kontrollera anställda ska arbetsgivaren komma ihåg att de anställda måste informeras om det på ett tydligt och entydigt sätt innan en sådan kontroll kan ske.
Utifrån uppgifterna i ärendet utgår Datatilsynet från att Fitness World behandlar uppgifter om företagets anställda i form av kamerabevakning i brottsförebyggande och utredningssyfte, samt för att kunna göra gällande rättsliga anspråk mot de anställda. Datatilsynet utgår också från att Fitness Worlds kamerabevakning av de anställda inte sker enligt kollektivavtal om kontrollåtgärder och att det som en tydlig utgångspunkt endast är information som omfattas av artikel 6 GDPR bearbetas.
Enligt Datatilsynet finns det ingen grund för att åsidosätta Fitness Worlds bedömning att behandlingen av uppgifter om anställda i form av kamerabevakning kan ske med stöd av artikel 6.1 (f) GDPR. På grundval av Fitness Worlds uppgifter i ärendet utgår Datatilsynet även från att anställda i samband med sin anställning har informerats om kamerabevakningen och syftena med denna, inklusive att syftet bland annat är att kunna göra gällande rättsliga anspråk mot de anställda, varför tillsynsmyndigheten inte finner skäl att dra slutsatsen att behandlingen ska ha skett i strid med artikel 13 GDPR.
När det gäller behandlingen av uppgifter om Fitness Worlds medlemmar finner Datatilsynet ingen grund för att dra slutsatsen att Fitness World inte har vidtagit lämpliga säkerhetsåtgärder i tillräcklig utsträckning. Datatilsynet framhöll i detta sammanhang att medlemmarnas uppgifter, baserat på de uppgifter som lämnats, inte kunde nås av medlemmarna, eftersom datorerna var låsta efter användning.
Av målet framgår dock att Fitness World lagrat uppgifter om ett antal anställda i form av läkarintyg, uppsägningar, kontrakt och skriftliga varningar samt övervakningsbilder på en delad dator, där informationen varit tillgänglig för andra anställda eftersom den lagrades på fel enhet. Datatilsynets bedömning är i detta sammanhang att en delad dator, som används av både anställda för dagligt bruk och av chefer för hantering av information om uppsägningar, kontrakt, skriftliga varningar, medicinska rapporter etc., utgör en närliggande risk för de registrerade, i detta fall arbetstagarnas rättigheter.
Datatilsynet anser därför att det finns skäl att framföra allvarlig kritik mot att Fitness Worlds behandling av personuppgifter inte har skett i enlighet med reglerna i artikel 32.1 GDPR.