Commission Nationale pour la Protection des Données (CNPD) har utfärdat en sanktionsavgift på 2 300 euro mot ett företag för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att CNPD inlett en tillsyn av företaget med fokus på verksamhetens användning av kamerabevakning på arbetsplatserna. I januari 2023 genomfördes inspektioner på tre av företagets platser. Det visade sig att företaget hade installerat tio bevakningskameror, varav två filmade anställda kontinuerligt vid deras arbetsstationer. Företaget försökte motivera detta med samtycke från de anställda samt påstådda skyldigheter enligt arbetsrätten. CNPD underkände dessa grunder och ansåg att endast ett berättigat intresse enligt artikel 6.1(f) i GDPR eventuellt kunde rättfärdiga övervakningen, men inte i denna omfattning. De två bevakningskamerorna ansågs vara oproportionerliga och utan giltig rättslig grund, vilket utgjorde ett brott mot artikel 6.1 GDPR.
CNPD konstaterade även brister i transparensen. Företaget hade inte informerat anställda, besökare eller kunder på ett tillräckligt tydligt sätt om övervakningen. På en av platserna fanns endast en enkel dekal som påminde om kamerabevakning, men ingen tydlig integritetspolicy fanns tillgänglig. Detta stred mot GDPR:s krav på öppenhet och information enligt artiklarna 5.1 (a) och 13 GDPR.
Vidare konstaterade CNPD att företaget inte heller kunde visa att man infört interna rutiner för att uppfylla GDPR:s krav på dataskydd. Det saknades bland annat dokumentation som visade på rättslig grund för behandlingen, vilket innebar brott mot artiklarna 5.2 och 24 GDPR.
En annan överträdelse rörde lagringstiden för inspelat material. Företaget sparade kameramaterialet i 61 dagar, vilket är betydligt längre än CNPD:s rekommenderade riktlinjer på 8 dagar (eller 30 dagar i undantagsfall). Detta bedömdes som en oproportionerlig lagringstid och ett brott mot principen om lagringsminimering enligt artikel 5.1 (e) GDPR samt artikel 25.2 GDPR.
CNPD konstaterade även att säkerheten kring det inspelade materialet var otillräcklig. Flera anställda kunde komma åt kameramaterialet via en oskyddad skärm och fjärråtkomst skedde genom en VPN med gemensamma inloggningsuppgifter. Det fanns inga spårbarhetsloggar, inga individuella behörigheter och ingen automatisk utloggning. Detta stred mot artikel 32.1 GDPR.
Med hänsyn till företagets lilla storlek och frånvaron av uppsåt eller ekonomisk vinning bestämdes en administrativ sanktionsavgift på 2 300 euro.