Garante per la protezione dei dati personali (Garante) har utfärdat en sanktionsavgift på 120 000 euro mot Cappello Giovanni & Figli s.r.l. för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att Cappello Giovanni & Figli, som har tillverkningsanläggningar i två kommuner med totalt över 40 anställda, infört ett system för ansiktsigenkänning för att övervaka sina anställdas närvaro på arbetsplatsen och ge dem tillträde till företagets lokaler. Dessutom började Cappello Giovanni & Figli använda en programvara för att registrera de uppgifter som varje anställd utförde. En registrerad lämnade in ett klagomål till Garante och hävdade att denna behandling stred mot GDPR.
Cappello Giovanni & Figli påpekade att företaget informerat varje registrerad genom att tillhandahålla en integritetspolicy i enlighet med artikel 13 GDPR och därefter inhämtat deras samtycke till behandlingen av dessa uppgifter. Cappello Giovanni & Figli hävdade att syftet med att införa systemet för ansiktsigenkänning var att förbättra företagets effektivitet och kvaliteten på dess produkter.
Garante påpekade att uppgifter som behandlas genom ett system för ansiktsigenkänning är biometriska uppgifter enligt artikel 4.14 GDPR. Behandlingen av dessa uppgifter omfattas därför av artikel 9.1 GDPR och är i princip förbjuden. Garante ansåg att behandlingen av biometriska uppgifter sker både när den registrerades biometriska kännetecken förvärvas, till exempel när den första bilden av den registrerade tas, och när den faktiska ansiktsigenkänningen äger rum.
Garante påminde om att det i artikel 9.2 (b) GDPR införts ett undantag från detta förbud på området för sysselsättning och social trygghet. Vissa villkor måste dock vara uppfyllda för att detta undantag ska kunna tillämpas, som att behandlingen måste vara nödvändig för att Cappello Giovanni & Figli eller den registrerade ska kunna fullgöra sina skyldigheter och utöva sina särskilda rättigheter, samt att behandlingen ska vara tillåten enligt unionsrätten, medlemsstaternas nationella rätt eller ett kollektivavtal som ger lämpliga skyddsåtgärder för den registrerades grundläggande rättigheter och intressen. Garante noterade att det inte finns någon nationell lagstiftning som föreskriver ett sådant tillstånd.
Garante godtog inte heller Cappello Giovanni & Figli:s argument om samtycke. Garante påminde om att samtycke i ett anställningsförhållande inte kan anses vara en giltig rättslig grund på grund av att förhållandet är obalanserat. Garante konstaterade därför att behandlingen av biometriska uppgifter i syfte att övervaka närvaron på arbetsplatsen är förbjuden och att den stred mot artikel 9.1 GDPR.
Vidare påpekade Garante att denna behandling även stred mot principen om uppgiftsminimering enligt artikel 5.1 (c) GDPR. Garante ansåg att Cappello Giovanni & Figli inte kunde bevisa att denna typ av behandling var nödvändig och proportionerlig, särskilt eftersom det finns mindre ingripande sätt att registrera närvaro. Därutöver noterade Garante att de biometriska uppgifterna lagrades tills anställningsavtalet upphörde. Garante ansåg att denna tidsperiod var överdriven och fann därför att det förelåg en överträdelse av principen om lagringsminimering enligt artikel 5.1 (e) GDPR.
När det gäller integritetspolicyn ansåg Garante att den var ofullständig och saknade de delar som anges i artikel 13 GDPR. Därför konstaterades en överträdelse av principerna om öppenhet och korrekthet enligt artikel 5.1 (a) GDPR. Gällande programvaran för tidshanteringen påpekade Garante att även i detta fall var den information som lämnades till den registrerade ofullständig och att Cappello Giovanni & Figli inte kunde visa att företaget har en laglig rättslig grund för behandlingen.