Garante per la protezione dei dati personali (Garante) har utfärdat en sanktionsavgift på 6 000 euro mot Naija Market International för överträdelser av dataskyddsförordningen (GDPR) och italienska dataskyddslagen.
Av beslutet framgår att Naija Market International, ett företag som är verksamt inom dagligvaruhandeln i Modena, installerat ett kamerabevakningssystem som gjorde det möjligt att övervaka de anställda utan att tillhandahålla dem nödvändig information, vilket strider mot artiklarna 5 och 13 GDPR och de särskilda reglerna om insamling av personuppgifter om anställda enligt italiensk lag.
Den 15 juli 2020 ställde Garante ett antal frågor till ägaren av Naija Market International då myndigheten bland annat ville ha ytterligare information om installationen av ett kamerabevakningssystem i butikslokalerna. Efter att Naija Market International inte svarat på frågorna genomförde Garante en tillsyn på plats i företagets två butikslokaler, vilket visade att det fanns kameror som filmade butikernas inre utrymmen och som därför kunde övervaka de anställdas arbetsuppgifter. Kamerorna var i drift utan att det fanns lämpliga informationsskyltar, vilket Garante ansåg vara en överträdelse av principen om laglighet, rättvisa och öppenhet enligt artikel 5.1 (a) GDPR, och av skyldigheterna att tillhandahålla information enligt artikel 13 GDPR. Dessutom ansåg Garante att kamerorna installerats utan att Naija Market International först fått tillstånd från behörig myndighet, vilket är ett krav enligt italiensk lag.
Som svar på anklagelserna hävdade Naija Market International att de inte kände till skyldigheten att informera behörig myndighet och att de, eftersom ägaren var utländsk medborgare, inte kunde förstå den särskilt tekniska dataskyddsförordningen. Dessutom hävdade Naija Market International att övervakningen endast omfattade tre anställda och att det därför endast rörde sig om en mindre överträdelse.
Garante godtog inte Naija Market Internationals argument och ansåg att användningen av kamerabevakningssystemet utgjorde en behandling av personuppgifter som måste utföras i enlighet med de allmänna principerna i artikel 5 GDPR, särskilt principen om öppenhet. I det här fallet har Naija Market International inte informerat om behandlingen på något sätt och företaget har även underlåtit att lämna en integritetspolicy till sina anställda. Enligt Garante har Naija Market International därmed brutit mot artikel 5.1 (a) och artikel 13 GDPR.
Dessutom ansåg Garante att behandlingen skett i strid med artikel 114 i lagdekret nr 196/2003 (sekretesslagen). Genom artikel 114 sekretesslagen finns ett särskilt system för behandling av anställdas personuppgifter, i linje med bestämmelserna i artikel 88 GDPR, vilket gör det möjligt för medlemsstaterna att fastställa mer specifika regler för att säkerställa skyddet av de registrerades rättigheter och friheter i detta sammanhang. Genom att inte svara på Garantes begäran inom den föreskrivna tidsfristen bröt Naija Market International också mot skyldigheten att tillhandahålla den information som dataskyddsmyndigheten begärt enligt artikel 157 sekretesslagen.
Garante ansåg därför att Naija Market International brutit mot artiklarna 5.1 (a) och 13 GDPR samt artiklarna 114 och 157 sekretesslagen. I enlighet med artikel 58.2 GDPR och artikel 83 GDPR ålade Garante därför Naija Market International administrativa sanktionsavgifter på 6 000 euro och ett föreläggande om att sätta upp nödvändiga informationsskyltar, att erhålla nödvändigt tillstånd från behörig myndighet och att meddela de åtgärder som vidtagits i detta avseende inom 90 dagar efter det att föreläggandet delgivits.
TechLaw bistår verksamheter i frågor som rör kamerabevakning, berättigat intresse, informationsskyldighet och dataskydd enligt GDPR. Läs mer om vår expertis inom dataskydd och integritet.
Har ni frågor är ni välkomna att kontakta Carina Berg, partner och jurist specialiserad inom dataskydd och affärsjuridik i teknikintensiva verksamheter.
Källa: Garante.