Commission Nationale de l’Informatique et des Libertés (CNIL) har utfärdat en sanktionsavgift på 40 000 euro mot ett fastighetsbolag för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att CNIL tagit emot klagomål från anställda på ett fastighetsbolag. Klagomålen avsåg övervakningsförfaranden som genomförts av företaget. CNIL inledde en utredning och fann att fastighetsbolaget konsekvent registrerade sina anställda genom att fånga både bild och ljud via två kameror som övervakade arbetsutrymmen men också rekreationsutrymmen. Livebilderna kunde ses via en mobilapp i arbetsledarens telefon. Fastighetsbolaget hade satt upp en skylt med ett kamerapiktogram, men ingen annan information lämnades till de anställda.
CNIL:s utredning visade också att fastighetsbolaget implementerat en programvara som användes när anställda arbetade hemifrån. Denna programvara räknade arbetstimmar och urskiljde inaktivitetsperioder. Detta innebar att systemet registrerade inaktivitet varje gång en anställd inte hade tryckt på tangentbordet eller använt musen under mer än 3-15 minuter. Dessa inaktivitetsperioder registrerades och om de anställda inte kompenserade för den förlorade tiden gjordes löneavdrag. Dessutom registrerade programvaran om medarbetarna, enligt fastighetsbolaget, besökte produktiva eller improduktiva webbplatser. Var 3:e till 15:e minut tog programvaran skärmdumpar av de anställdas skärmar. Fastighetsbolaget framförde att det muntligen informerat de anställda om hur programvaran fungerade.
Därutöver fann CNIL att fastighetsbolaget tillät delad tillgång till programvarans administratörskonto, vilket innebar att det var omöjligt att spåra vem som använt administratörskontot. Administratörskontot hade omfattande visningsrättigheter och kunde därför få tillgång till stora mängder personuppgifter.
CNIL ansåg att den kontinuerliga karaktären och upptagningen av ljud i inspelningarna var omotiverad. Det konstaterades därför en överträdelse av artikel 5.1 (c) GDPR. Utöver detta ansåg CNIL att fastighetsbolaget inte informerat sina anställda om kamerabevakningen på ett adekvat sätt, till exempel genom att skylten inte innehöll någon ytterligare information om syftet med eller lagringen av inspelningarna. CNIL konstaterade därför överträdelser av artiklarna 12 och 13 GDPR. En överträdelse av artikel 12 GDPR gällde också den otillräckliga muntliga information som lämnats till de anställda om programvaran och dess övervakningsfunktioner.
CNIL konstaterade vidare att registreringen av de påstådda inaktivitetsperioderna inte återspeglade den faktiska arbetstiden. CNIL ansåg därför att fastighetsbolaget inte kunde åberopa någon rättslig grund för denna behandling. CNIL ansåg även att praxis med regelbundna skärmdumpar visade sig vara särskilt påträngande övervakning eftersom känslig personlig information kunde fångas. CNIL konstaterade därför en överträdelse av artikel 6 GDPR.
Därutöver ansåg CNIL att den delade åtkomsten till administratörskontot gjorde det till ett utmärkt mål för ransomeware-attacker och att fastighetsbolaget borde ha förhindrat detta. CNIL konstaterade därför en överträdelse av artikel 32 GDPR.
Slutligen ansåg CNIL att den kontinuerliga övervakningen av anställda visade på en hög risk för deras rättigheter och friheter, vilket innebar att fastighetsbolaget var skyldig att genomföra en konsekvensbedömning avseende dataskydd innan programvaran användes. Då en sådan inte gjorts konstaterade CNIL en överträdelse av artikel 35 GDPR.