Garante per la protezione dei dati personali (Garante) har bötfällt Giessegi Industria Mobili S.p.A. med 50 000 euro för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att den personuppgiftsansvarige stod i ett avtalsförhållande med personuppgiftsbiträdet Verizon Connect Italy S.p.A. som tillhandahöll utrustning för geolokalisering. Den personuppgiftsansvarige installerade geolokaliseringsenheter för att spåra fordon som levererade varor för dess räkning. Dessa fordon ägdes inte direkt av den personuppgiftsansvarige, utan snarare av ett tredje företag till vilket den personuppgiftsansvarige lade ut vissa tjänster. Den registrerade var en förare anställd av detta tredje företag och hade inget direkt avtalsförhållande med den personuppgiftsansvarige.
Efter det att avtalet med personuppgiftsbiträdet upphört, avvecklade den personuppgiftsansvarige enheterna. Den personuppgiftsansvarige glömde dock att ta bort en av dem, som senare hittades av den registrerade i bilens motor.
Den personuppgiftsansvarige hävdade att de geolokaliserade enheterna var kopplade till bilplåtar och inte till enskilda personer. Eftersom den personuppgiftsansvarige inte visste vem föraren var kunde geolokaliseringsuppgifter inte betraktas som personuppgifter enligt dataskyddsförordningen. Garante inledde en utredning om eventuella överträdelser av artiklarna 5.1 (a), 6, 13, 28.1 och 35 GDPR.
Garante avvisade den personuppgiftsansvariges argument och klargjorde att personuppgifter inte bara avser en identifierad person, utan även en identifierbar person, som i det aktuella fallet. Giessegi Industria Mobili var personuppgiftsansvarig, eftersom företaget bestämde ändamålen och medlen för behandlingen. Garante identifierade sedan ett antal överträdelser.
För det första bröt den personuppgiftsansvarige mot artiklarna 5.1 (a) och 13 GDPR, eftersom företaget inte försåg den registrerade med en ordentlig integritetspolicy. Artikel 28 GDPR överträddes också, eftersom det inte fanns något personuppgiftsbiträdesavtal mellan den personuppgiftsansvarige och personuppgiftsbiträdet.
När det gäller tiden efter det att avtalet mellan den personuppgiftsansvarige och det företag som anställde den registrerade upphört, skedde också en överträdelse av artikel 6 GDPR. Geolokaliseringsutrustning installerades för att övervaka genomförandet av avtalet mellan den personuppgiftsansvarige och den registrerades leveransföretag. Den personuppgiftsansvarige kunde dock inte längre åberopa artikel 6.1 (b) GDPR efter att ett sådant avtal upphört. Den personuppgiftsansvarige behandlade därför personuppgifter utan rättslig grund.
Slutligen konstaterade Garante en överträdelse av artikel 35 GDPR då det saknades en konsekvensbedömning avseende dataskydd. Med hänvisning till EDPB:s riktlinjer hävdade Garante att lokaliseringsuppgifter är mycket personliga och att anställda är sårbara registrerade personer. Följaktligen borde den personuppgiftsansvarige ha tillämpat artikel 35 GDPR.
Mot bakgrund av ovanstående använde Garante sina korrigerande befogenheter enligt artiklarna 58.2 (c) och 83 GDPR och bötfällde den personuppgiftsansvarige med 50 000 euro.