Tietosuojavaltuutetun toimisto (“Dataombudsmannens byrå”) har bötfällt ett universitet med 25 000 euro för brott mot artiklarna 5.1 (c) och 6.1 i dataskyddsförordningen (“GDPR”).
Av beslutet framgår att universitetet introducerat en mobilapplikation som gjorde det möjligt för distansarbetare att övervaka sin arbetstid. För att kunna stämpla in med hjälp av mobilapplikationen var användaren tvungen att aktivera funktionen för platstjänster som samlade in den mobila enhetens lokaliseringsuppgifter.
Enligt universitetet använde eller utnyttjade inte lärosätet lokaliseringsuppgifterna aktivt i någon situation, utan behandlade endast uppgifterna i samband med att användarna stämplade in av tekniska skäl.
Dataombudsmannens byrå konstaterade att det faktum att registrering av arbetstid inte var möjlig i mobilapplikationen utan att lokaliseringsuppgifter behandlas inte utgjorde ett berättigat skäl för universitetet att behandla uppgifterna. Enligt Dataombudsmannens byrå hade universitetet därmed inte någon rättslig grund för behandlingen av uppgifterna (artikel 6.1 GDPR). Vidare bröt universitetet mot principen om uppgiftsminimering (artikel 5.1 c GDPR) eftersom behandlingen av lokaliseringsuppgifter inte var nödvändig för syftet med behandlingen, vilket enbart var registrering av arbetstid.