Garante per la protezione dei dati personali (Garante) har bötfällt Sophisticated Luxury Flats s.r.l. med 2 000 euro för överträdelser av dataskyddsförordningen (GDPR) och Codice in materia di protezione dei dati personali (kodexen).
Av beslutet framgår att Royal Palace Hotel ägs av Luxury Flats s.r.l. (den personuppgiftsansvarige). En anställd på Royal Palace Hotel i Rom lämnade in ett klagomål mot den personuppgiftsansvarige för användningen av en biometrisk anordning som syftade till att registrera de anställdas närvaro på arbetet. Verktyget gjorde det möjligt för den personuppgiftsansvarige att registrera början och slutet av de anställdas arbetsdag genom att skanna deras fingeravtryck.
Efter klagomålet inledde Garante en utredning i ärendet. Den 10 augusti 2020 gav Garante den personuppgiftsansvarige möjlighet att inkomma med återkoppling, följt av två andra förfrågningar den 5 januari 2020 och den 29 april 2021. Den personuppgiftsansvarige svarade inte på någon av dem.
Garante lämnade därför över ärendet till den italienska polisens specialenhet för skydd av privatlivet och tekniska bedrägerier för att skaffa få begärda informationen. Garante meddelade också den personuppgiftsansvarige att ett sanktionsförfarande inletts i enlighet med artikel 166.5 i kodexen.
Under besöket från specialenheten förklarade den personuppgiftsansvarige att han “inte förstod innebörden av dataskyddsmyndighetens e-postmeddelanden om utredningen” och att han inte “var medveten om att han var tvungen att svara på dessa förfrågningar”. Den personuppgiftsansvarige uppgav också att verktyget inte använts sedan januari eller februari 2020 eftersom det inte fungerade som det skulle. Den personuppgiftsansvarig kom inte heller ihåg var verktyget fanns och kunde inte heller tillhandahålla dokumentation om enhetens modell.
På grundval av fakta och den personuppgiftsansvariges uttalanden ansåg Garante att det inte fanns några objektiva element som skulle möjliggöra en sanktion. Då den personuppgiftsansvarige inte svarade på Garantes många förfrågningar bröt han dock mot artikel 157 (begäran om information och framläggande av handlingar) i förhållande till artikel 166.2 i kodexen varför myndigheten ansåg att det var nödvändigt med sanktionsavgifter.
Garante ansåg vidare med hänvisning till skäl 148 i GDPR att överträdelsen inte kunde betraktas som “liten”. Med hänsyn till överträdelsens art, allvar och varaktighet, liksom graden av ansvar och det sätt på vilket Garante fått kännedom om överträdelsen, ålade myndigheten den personuppgiftsansvarige böter på 2 000 euro för de ovannämnda överträdelserna.