Agencia Española de Protección de Datos (AEPD) har utfärdat en sanktionsavgift på 3 600 euro mot ett biluthyrningsföretag för överträdelser av dataskyddsförordningen (GDPR) avseende olaglig kamerabevakning.
Bakgrund
Av beslutet framgår att utredningen mot företaget inleddes efter en klagomål från november 2024, där det framgick att kameror vid företagets anläggning inte bara fångade bilder utan även ljud i kontorsytor och områden där personalen vistades. Klagomålet påpekade att inspelningarna gjordes utan explicit samtycke från de berörda och utan korrekt information om övervakningen.
Företaget förklarade att syftet med kamerorna var att säkerställa säkerheten för anläggningen, personalen och kunder. Systemet bestod av två kameror, en utomhus och en inomhus, med begränsad åtkomst, och inspelningarna sparades i upp till sju dagar. Bolaget hade även anlitat en dataskyddsombud och dokumenterade behandlingen i sitt register över behandlingar.
Myndighetens bedömning
AEPD konstaterade att kamerabevakningen omfattade områden som gick utöver vad som var nödvändigt för säkerhetsändamålet, i strid med principen om uppgiftsminimering enligt artikel 5.1 (c) GDPR. Myndigheten betonade särskilt att ljudinspelning i kontorsområden och personalutrymmen var oproportionerlig, eftersom företaget redan hade andra säkerhetssystem och inspelningarna kunde kränka anställdas och kunders privatliv.
AEPD fann också att informationsskyldigheten inte uppfyllts enligt artikel 13 GDPR. Även om intern skyltning fanns, var den externa skyltningen bristfällig och gav inte tillräcklig information om vem som var ansvarig för behandlingen eller hur registrerade kan utöva sina rättigheter. Vidare framhöll AEPD principen om proaktivt ansvar enligt artikel 5.2 GDPR, dvs. att företaget måste visa att behandlingen följer GDPR och att åtgärder vidtas för att förhindra framtida överträdelser.
Sanktionsavgiften fastställdes initialt till 6 000 euro men reducerades till 3 600 euro efter att företaget gjort en omedelbar betalning och erkänt ansvar.
Praktiska konsekvenser
Beslutet visar att organisationer måste begränsa kamerabevakning till det som är nödvändigt för ändamålet, säkerställa att ljudinspelning inte sker utan rättslig grund och att korrekt information och skyltning tillhandahålls till registrerade.
Relaterad expertis
TechLaw bistår verksamheter i frågor som rör dataskydd, personuppgiftsansvar och regelefterlevnad enligt GDPR. Läs mer om vår expertis inom dataskydd och integritet.
Har ni frågor om hur dataskyddsreglerna påverkar er verksamhet är ni välkomna att kontakta oss.
Källa: AEPD.