Datenschutzbehörde (DSB) har utfärdat en sanktionsavgift på 20 000 euro mot en restaurang för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att två tidigare anställda på en restaurang lämnat in ett klagomål till DSB eftersom de märkte att de spelats in av en bevakningskamera på arbetsplatsen och att inspelningarna kunde nås av arbetsgivaren vid alla tidpunkter. Restaurangen hävdade att bevakningskamerorna hade till syfte att skydda arbetsgivarens egendom och arbetstagarna, och att behandlingen grundade sig på arbetstagarnas samtycke enligt artikel 6.1 (a) GDPR. Restaurangen uppgav också att inspelningarna skulle sparas i 14 dagar och därefter automatiskt raderas.
DSB konstaterade att restaurangen hade bevakningskameror som inte bara filmade restaurangens utomhusområde utan även kök, bar, entré och förråd och att restaurangen inte fört några register över sina behandlingsaktiviteter åtminstone sedan 2018.
DSB konstaterade vidare att restaurangen inte kunde bevisa att de registrerade samtyckt till behandlingen enligt artikel 6.1 (a) GDPR och därmed inte heller kunde bevisa att artikel 5.2 GDPR hade iakttagits. DSB undersökte därefter om restaurangen lagligen kunde åberopa artikel 6.1 (f) GDPR som rättslig grund, vilket restaurangen endast gjort under förfarandet. DSB konstaterade i detta avseende att en övergång från samtycke till berättigat intresse som rättslig grund bara för att den första inte kunde åberopas ska anses vara olaglig. DSB drog därför slutsatsen att behandlingen var olaglig eftersom den inte kunde baseras på en giltig rättslig grund enligt artikel 6 GDPR, och ansåg också att lagringsperioden för inspelningarna var för lång och därmed i strid med artikel 5.1 (c) och (e) GDPR.
Slutligen konstaterade DSB att restaurangen inte kunde motivera sin underlåtenhet att föra ett register över behandlingsaktiviteter i enlighet med artikel 30.1 GDPR.
Med beaktande av restaurangens uppskattade omsättning och de kriterier som anges i artikel 83 GDPR och EDPB:s riktlinjer 04/2022, ansåg DSB att överträdelsen var mycket allvarlig och beslutade en sanktionsavgift på 20 000 euro mot restaurangen.