Garante per la protezione dei dati personali (Garante) har bötfällt Sportitalia med 20 000 euro för överträdelser av dataskyddsförordningen (GDPR) och Codice della privacy.
Av beslutet framgår att Sportitalia, en amatöridrottsklubb (den personuppgiftsansvarige), driver flera fitnessklubbar i Milano. Den personuppgiftsansvarige har installerat ett system som samlade in biometriska uppgifter (fingeravtryck) från sina anställda (de registrerade) för att registrera deras närvaro på idrottsklubbarna och göra det lättare för dem att registrera tiderna då de gick in och ut från arbetet samt för att anta ett enkelt och snabbare system än det brickbaserade system som tidigare användes. Detta biometriska system installerades på den personuppgiftsansvariges kontor och i dess sju klubbar med sammanlagt 132 berörda registrerade.
I oktober 2018 lämnade en fackföreningsorganisation in ett klagomål till Garante mot den personuppgiftsansvarige och hävdade att systemet var olagligt. Garante inledde en utredning som följdes av ett sanktionsförfarande.
Under förfarandet hävdade den personuppgiftsansvarige att behandlingen av de registrerades uppgifter baserades på ett fritt och uttryckligt samtycke. Den personuppgiftsansvarige betonade att de registrerade kunde vägra att använda det biometriska systemet till förmån för brickan, även om ingen registrerad begärde att få använda denna alternativa metod. Den personuppgiftsansvarige hävdade i sitt försvar att detta system hade det enda syftet att upptäcka de anställdas närvaro för att underlätta registreringen av in- och utpasseringar. Den personuppgiftsansvarige hävdade också att bolaget agerat i god tro och på ett öppet sätt gentemot de registrerade genom att informera dem om att de kunde vägra att ge sitt samtycke till användningen av detta biometriska system eller att de när som helst kunde återkalla sitt samtycke. Den personuppgiftsansvarige uppgav att bolaget från och med den 2 maj 2022 skulle sluta använda det biometriska systemet och radera alla uppgifter och återgå till det traditionella systemet för registrering av brickor. Av denna anledning instruerade den personuppgiftsansvarige sitt personuppgiftsbiträde att radera de biometriska uppgifter som samlats in och behandlats under användningen av systemet för fingeravtrycksavläsning.
Garante noterade att biometriska uppgifter utgör känsliga uppgifter enligt artikel 9.1 GDPR. Dessutom måste all behandling av personuppgifter ha en rättslig grund i enlighet med principen om laglighet enligt artikel 5.1 (a) GDPR. I detta avseende observerade Garante att den personuppgiftsansvarige, i motsats till de uttalanden som gjordes under granskningen, inte erbjöd de registrerade en verklig möjlighet att återkalla samtycket och byta till ett traditionellt brickbaserat system. Därför fanns det inget fritt och uttryckligt samtycke till behandling av personuppgifter enligt artikel 9.2 (a) GDPR. Även om syftena med att övervaka anställdas närvaro och kontrollera att arbetstiderna följs kan vara lagliga enligt artikel 9.2 (b) GDPR, skulle behandlingen av biometriska uppgifter endast vara laglig i den utsträckning som den är tillåten enligt nationell lagstiftning eller EU-lagstiftning och som den skyddar de registrerades rättigheter och friheter. Behandlingen måste vara förenlig med principerna i artikel 5 GDPR och respektera de registrerades rättigheter, till exempel rätten till information.
Garante noterade, utöver de påståenden som framfördes i klagomålet, att den enda information som gavs till de registrerade om behandlingen av biometriska uppgifter fanns i ett kort stycke i integritetsmeddelandet om den allmänna karaktären av den behandling som utförs inom ramen för anställningsförhållandet. Garante ansåg att den personuppgiftsansvarige inte tydligt informerade de registrerade om behandlingen av deras biometriska uppgifter. Garante förklarade att i samband med anställningsförhållanden är skyldigheten att informera den anställde också ett uttryck för principen om rättvisa enligt artikel 5.1 (a) GDPR. Genom att inte tillhandahålla tillräcklig information bröt den personuppgiftsansvarige således mot artikel 5.1 (a) GDPR och artikel 13 GDPR. I den personuppgiftsansvariges register över behandlingar fanns biometriska uppgifter inte med bland de kategorier av uppgifter som behandlades och det fanns ingen beskrivning av sådan behandling, vilket ledde till att Garante även konstaterade en överträdelse av artikel 30.1 (c) GDPR.
Eftersom den personuppgiftsansvarige inte skyddade de registrerades rättigheter uppfyllde den inte heller kraven i artikel 9.2 (b) GDPR, vilket innebär att det inte fanns någon giltig rättslig grund för behandlingen av biometriska uppgifter.
Med hänsyn till bland annat överträdelsens art (överträdelse av allmänna principer för databehandling), överträdelsens allvar och varaktighet (knappt fyra år) samt den personuppgiftsansvariges samarbete med dataskyddsmyndigheten och avsaknaden av tidigare relevanta överträdelser från den personuppgiftsansvariges sida, ålade Garante den personuppgiftsansvarige att betala böter på 20 000 euro.