Commission Nationale de l’Informatique et des Libertés (CNIL) har utfärdat en sanktionsavgift på 100 000 euro mot Samaritaine SAS för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att varuhuset Samaritaine installerat fem dolda kameror, maskerade som brandvarnare, i personalutrymmena. Kamerorna spelade inte bara in bild utan även ljud, vilket gjorde det möjligt att i hemlighet registrera både anställdas rörelser och samtal. Varken de anställda, dataskyddsombudet eller CNIL informerades om installationen, och systemet fanns inte dokumenterat i Samaritaines register över behandlingar. Dessutom stals två minneskort med inspelningar, men Samaritaine rapporterade inte händelsen till CNIL inom den föreskrivna tidsfristen på 72 timmar.
CNIL konstaterade överträdelser av principerna om laglighet, korrekthet och öppenhet enligt artikel 5.1 (a) GDPR, uppgiftsminimering enligt 5.1 (c) GDPR och lagringsminimering enligt artikel 5.1 (e) GDPR. Samaritaine hade inte heller anmält personuppgiftsincidenten till CNIL eller konsulterat dataskyddsombudet innan kamerorna sattes upp, vilket utgjorde överträdelser av artiklarna 33 och 38 GDPR.
CNIL ansåg att överträdelserna innebar en allvarlig kränkning av de anställdas grundläggande rättigheter och integritet. Samaritaine försvar, att kamerorna var ett ”test”, underkändes med motiveringen att även sådana åtgärder måste följa GDPR.