Bundesverwaltungsgericht (BVwG) har fastställt en administrativ sanktionsavgift på 1,8 miljoner euro mot IKEA Austria GmbH för flera överträdelser av dataskyddsförordningen (GDPR).
Bakgrunden till ärendet var ett anonymt klagomål som föranledde Datenschutzbehörde (DSB) att inleda ett administrativt sanktionsförfarande mot IKEA avseende olaglig och oproportionerlig kamerabevakning i och omkring en av bolagets varuhus. Bland annat filmades kunder under inmatning av sina PIN-koder, vilket innebar behandling av personuppgifter enligt artikel 4.1 GDPR.
DSB konstaterade att IKEA under perioden mars till maj 2022 använde ett kamerabevakningssystem bestående av nio kameror, varav flera registrerade uppgifter i strid med GDPR. Den personuppgiftsbehandling som skedde genom kamerabevakningssystemet bedömdes sakna rättslig grund enligt artikel 6.1 GDPR, vara oproportionerlig i förhållande till ändamålet (skydd av egendom och säkerhet) samt inte uppfylla kraven på uppgiftsminimering och korrekthet enligt artikel 5.1 (a) och (c) GDPR.
Mot denna bakgrund ålades IKEA av DSB att betala en sanktionsavgift om 1,5 miljoner euro samt 150 000 euro i rättegångskostnader. IKEA överklagade och hävdade att vissa filmsekvenser inte innehöll identifierbara personuppgifter, att många kunder använde betalningsmetoder som inte krävde PIN-kod eller täckte den vid inmatningen, och att övervakningen var nödvändig av säkerhetsskäl. IKEA hävdade också att sanktionsavgiften var oproportionerlig, särskilt eftersom moderbolagets omsättning hade beaktats på ett felaktigt sätt vid beräkningen.
BVwG biföll delvis och avvisade delvis överklagandet. BVwG konstaterade särskilt att kamerabevakningssystemet stred mot artiklarna 5.1 (a), 5.1 (c) och 6.1 GDPR på grund av bristande rättslig grund och överdriven datainsamling. BVwG hävdade att de intressen som IKEA åberopade, såsom skydd av egendom, säkerhet för anställda och kunder samt efterlevnad av trafiksäkerhetskrav, uppvägdes av de grundläggande rättigheterna och integritetsintressena för de tiotusentals personer som berördes. BVwG betonade att övervakningen inte var nödvändig eftersom alternativa, mindre integritetskränkande åtgärder (såsom patrullering, adekvat belysning och incidentrelaterad fotodokumentation) fanns tillgängliga, och att risken för brott eller incidenter var för låg för att motivera en så omfattande övervakning. De områden som filmades var dessutom alltför omfattande och inkluderade mycket välbesökta offentliga områden eller känsligt kundbeteende, såsom inmatning av PIN-koder, vilket ledde till ett oproportionerligt intrång.
Av de nio kamerorna ansåg BVwG att endast två vara lagliga, varför överklagandet bifölls och respektive delar av DSB:s beslut ogillades. För de återstående kamerorna ogillades överklagandet, eftersom BVwG ansåg att övervakningens omfattning inte var begränsad till vad som var nödvändigt, på grund av avsaknaden av tidsbegränsningar och tillgången till mindre integritetskränkande alternativ, vilket stred mot principen om uppgiftsminimering enligt artikel 5.1 (c) GDPR. Dessutom spelade en kamera olagligt in kundernas PIN-koder, även om detta inte var nödvändigt för att uppnå det avsedda säkerhetsändamålet. Samma mål, att övervaka betalningsprocessen, kunde ha uppnåtts genom att observera kundernas beteende och kassaskärmen, utan att registrera känsliga uppgifter.
Vidare krävs enligt artikel 83 GDPR och EU-domstolens rättspraxis att ett bötesbelopp grundar sig på uppsåtligt eller vårdslöst beteende. BVwG konstaterade att IKEA hade agerat grovt vårdslöst genom att använda kamerorna utan att säkerställa korrekt integritetsskydd, underlåta att kontrollera eller implementera skyddsåtgärder och inte omedelbart åtgärda kända problem, även efter att dessa hade identifierats.
BVwG fastställde därför sanktionsavgifterna och höjde dem till 1,8 miljoner euro. Detta baserades på det olagliga beteendets bredare omfattning, det grovt vårdslösa beteendet och den finansiella ställningen för företagets koncern, vars omsättning uppgick till 44,3 miljarder euro.