Datenschutzbehörde (DSB) konstaterar att en personuppgiftsansvarig inte haft någon rättslig grund för behandlingen av personuppgifter och förbjuder vidare behandling enligt dataskyddsförordningen (GDPR).
Av beslutet framgår att DSB inlett ett tillsynsförfarande mot den personuppgiftsansvarige efter ett anonymt tips om att företaget installerat GPS-system i sina tjänstebilar. Den personuppgiftsansvarige hävdade att företaget använde systemet för att uppfylla sina rättsliga skyldigheter och för att skydda sina intressen.
DSB konstaterade att den personuppgiftsansvarige brutit mot GDPR genom att behandla personuppgifter om sina anställda med hjälp av GPS-systemet utan att ha de nödvändiga förutsättningarna för det. Enligt DSB kunde den personuppgiftsansvarige inte stödja sig på ett berättigat intresse enligt artikel 6.1 (f) GDPR eller någon rättslig skyldighet enligt 6.1 (c) GDPR som skulle motivera övervakningen av tjänstebilarna. Den personuppgiftsansvarige hade heller inte inhämtat ett samtycke från de berörda anställda eller ingått någon kollektivavtal om övervakningen. DSB förbjöd därför den personuppgiftsansvarige att behandla de personuppgifter som erhållits med hjälp av GPS-systemet med omedelbar verkan.
Den österrikiska dataskyddsmyndigheten (DSB) fann att en personuppgiftsansvarig olagligen hade åberopat artikel 6.1 f GDPR och artikel 6.1 c GDPR som rättslig grund för behandling av personuppgifter som erhållits från GPS-spårningsutrustning som installerats på företagets fordon som används av dess anställda.