Den italienska dataskyddsmyndigheten Garante per la protezione dei dati personali (Garante) har bötfällt Rebirth S.r.l. med 15 000 euro för överträdelse av artiklarna 13 och 15.1 (a) i dataskyddsförordningen (GDPR), samt artiklarna 114 och 157 i kodexen om skydd av personuppgifter innehållande bestämmelser för att anpassa den nationella lagstiftningen till GDPR (kodexen).
Av beslutet framgår att Garante underrättats om att ett kamerabevakningssystem installerats i restaurangen Caffè Antica Roma, som drivs av Rebirth och som påståtts inte följa reglerna om skydd av personuppgifter. Mot bakgrund av detta skickade Garante en begäran om information till Rebirth, varpå Garante inledde en utredning efter uteblivet svar. Efter en granskning konstaterade Garante att det fanns 14 kameror i restaurangen, men att information om kamerabevakningen saknades. Garante konstaterade dessutom att kamerabevakningssystemet installerats utan något förhandstillstånd från aktuella myndigheter och den berörda fackföreningen.
Enligt Garante strider sådan behandling av personuppgifter mot artiklarna 5.1 (a) och 13 GDPR. I enlighet med artikel 13 GDPR borde Rebirth ha gett de registrerade information om kamerabevakningen innan behandlingen påbörjades. Vidare måste arbetsgivare informera de anställda om förekomsten av kamerabevakning på arbetsplatsen i samband med att anställningsförhållandet påbörjas vilket härrör från artikel 5.1 (a) GDPR.
Garante konstaterade vidare att denna typ av övervakning strider mot principen om behandlingens laglighet, enligt vilken behandlingen endast är laglig om den är förenlig med tillämpliga sektorsbestämmelser. Enligt artikel 114 i kodexen, som ger ytterligare skydd för rättigheter och friheter när det gäller behandling av arbetstagares personuppgifter, måste sådan behandling av personuppgifter ske i enlighet med annan nationell rätt. Garante ansåg därför att Rebirths behandling av personuppgifter var olaglig, eftersom den inte följde den ovannämnda bestämmelsen.
Mot bakgrund av ovanstående beslutade Garante att Rebirth ska bötfällas med 15 000 euro. Vid beräkningen av bötesbeloppet förklarade Garante att myndigheten som en försvårande omständighet tagit hänsyn till Rebirths underlåtenhet att svara på den begäran om information som skickats i enlighet med artikel 157 i kodexen. Garante betonade också att Rebirth har 30 dagar på sig att lösa ärendet genom att betala ett belopp som motsvarar hälften av den utdömda påföljden.