Garante per la protezione dei dati personali (Garante) har utfärdat en sanktionsavgift på 50 000 euro mot Autotrasporti Cuccu Riccardo S.r.l. Unipersonale för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att en registrerad framförde ett klagomål till Garante mot bilverkstaden Autotrasporti Cuccu Riccardo. Klagomålet gällde förekomsten av ett geolokaliseringssystem i de tjänstebilar som de anställda tilldelats. Geolokaliseringssystemet installerades av bilverstaden utan att de anställda informerades.
Garante inledde en utredning som visade att tjänstebilarna kunde spåras på kartan genom sina registreringsnummer, som i sin tur var kopplade till för- och efternamnet på den anställde som körde bilen. Utredningen visade dessutom att för- och efternamnet ibland inte tillhörde föraren utan snarare någon anställd. Därför kunde ibland en annan anställd köra den tjänstebil som tilldelats en annan anställd.
Därutöver visade utredningen att Autotrasporti Cuccu Riccardos integritetspolicy inte alls beskrev den behandling av personuppgifter som skedde när geolokaliseringssystemet var i bruk. Dessutom nämndes det inte i integritetspolicyn hur behandlingen av personuppgifter genom geolokaliseringssystemet gick till.
Mot bakgrund av ovanstående konstaterade Garante att de specifika funktionerna i geolokaliseringssystemet inte uppfyllde de specifika garantier som anges i det tillstånd som utfärdats av den lokala tillsynsmyndigheten, och som krävs enligt nationell rätt, särskilt när det gäller den icke kontinuerliga spårningen av det geolokaliserade fordonet, anonymiseringen av de insamlade uppgifterna, antagandet av tekniska lösningar för att förhindra eventuell behandling av uppgifter som är främmande, irrelevanta eller går utöver de ändamål som bilverkstaden eftersträvar. Detta utgjorde enligt Garante en överträdelse av principen om laglighet, korrekthet och öppenhet enligt artikel 5.1 (a) GDPR.
Garante konstaterade även att det geolokaliseringssystem som användes av bilverkstaden installerats för att skydda bilverkstadens egendom i organisations- och produktivitetssyfte. Bilverkstadens system gjorde det dock möjligt att samla in uppgifter om tjänstebilen när den är avstängd och när föraren var på rast. Dessa uppgifter lagrades utan åtskillnad under en period av 180 dagar. Enligt Garante kommer insamlingen av dessa detaljerade personuppgifter sannolikt att leda till en kontinuerlig övervakning av de anställdas aktiviteter, vilket strider mot principen om uppgiftsminimering i artikel 5.1 (c) GDPR. Att lagra uppgifterna under en så lång tid utan någon förklaring strider dessutom mot principen om lagringsminimering enligt artikel 5.1 (e) GDPR.
Garante konstaterade därutöver att avsaknaden av information om behandlingen innebar en överträdelse av artiklarna principen om öppenhet enligt artikel 5.1 (a) GDPR och informationskraven i artikel 13 GDPR.