Agencia Española de Protección de Datos (AEPD) har utfärdat en sanktionsavgift på totalt 200 000 euro mot ett transportföretag för överträdelser av dataskyddsförordningen (GDPR) vid användning av spårningsappar på anställdas privata mobiltelefoner.
Bakgrund
År 2024 lämnade en registrerad in ett klagomål till AEPD och uppgav att transportföretaget hade tvingat denne att installera fyra appar som kontinuerligt övervakade position, meddelanden och samtal, oavsett om de anställda använde företagstelefoner eller sina privata telefoner i arbetet.
Transportföretaget hävdade att de anställda hade möjlighet att välja mellan företagstelefoner och privata telefoner, men medgav samtidigt att tillgången till företagstelefoner var föremål för budgetbegränsningar och att användning av privata telefoner uppmuntrades. Företaget uppgav vidare att de anställda informerades om databehandlingen genom de obligatoriska apparna och att behandlingen var laglig eftersom den utgjorde en väsentlig del av anställningsavtalet. Slutligen hävdade företaget att apparna upphörde att behandla uppgifter så snart de stängdes.
Under utredningen konstaterade AEPD att apparna behandlade uppgifter kontinuerligt och att två av apparna innehöll behörigheter att behandla ytterligare uppgifter, såsom platsdata, information om den registrerades fysiska tillstånd samt foton och videor.
Myndighetens bedömning
AEPD bedömde att transportföretaget hade åsidosatt principen om dataminimering enligt artikel 5.1 (c) GDPR. Myndigheten angav att appar som används på privata mobiltelefoner för arbetsrelaterade ändamål måste begränsa sin databehandling till vad som är absolut nödvändigt. AEPD hänvisade till praxis från den spanska högsta domstolen, där domstolen betonat att spårning av anställda inte är proportionerlig om företagets mål kan uppnås genom mindre ingripande metoder.
AEPD konstaterade också en överträdelse av kravet på rättslig grund enligt artikel 6.1 GDPR. Myndigheten bedömde att transportföretaget inte hade inhämtat ett frivilligt samtycke från de anställda, eftersom användning av privata telefoner var standard till följd av bristande tillgång till företagstelefoner. AEPD beaktade också den inneboende obalansen i anställningsförhållandet vid bedömningen av samtycketes frivillighet, i enlighet med skäl 43 GDPR och EDPB:s riktlinjer, och drog slutsatsen att installationen av apparna i praktiken var ett obligatoriskt villkor för att utföra arbetsuppgifterna. Samtycke enligt artikel 6.1 (a) GDPR utgjorde därmed inte en giltig rättslig grund. AEPD prövade inte övriga rättsliga grunder enligt artikel 6.1 GDPR.
Slutligen konstaterade AEPD en överträdelse av informationsskyldigheten enligt artikel 13 GDPR, eftersom transportföretaget inte i tillräcklig utsträckning hade informerat de anställda om vilka uppgifter som behandlades genom de obligatoriska apparna.
Sanktionsavgifterna fördelades enligt följande: 100 000 euro för överträdelsen av artikel 5.1 (c) GDPR, 80 000 euro för överträdelsen av artikel 6.1 GDPR och 20 000 euro för överträdelsen av artikel 13 GDPR. AEPD förelade även transportföretaget att visa att kraven på dataminimering och informationsskyldighet uppfylls samt att det finns en giltig rättslig grund för behandlingen.
Praktiska konsekvenser
Beslutet visar att arbetsgivare som använder appar för att övervaka anställda måste säkerställa att databehandlingen är begränsad till vad som är nödvändigt och proportionerligt i förhållande till ändamålet. Samtycke är i regel inte en lämplig rättslig grund i anställningsförhållanden, eftersom den inneboende obalansen mellan arbetsgivare och anställd innebär att samtycket sällan kan anses frivilligt. Beslutet understryker också att arbetsgivare som överväger att använda anställdas privata enheter för arbetsrelaterade ändamål måste säkerställa en tydlig rättslig grund och tillhandahålla fullständig information om behandlingen.
Relaterad expertis
TechLaw bistår verksamheter i frågor som rör dataskydd, arbetsrättsliga aspekter av personuppgiftsbehandling och regelefterlevnad enligt GDPR. Läs mer om vår expertis inom dataskydd och integritet.
Har ni frågor om hur dataskyddsreglerna påverkar er verksamhet är ni välkomna att kontakta oss.
Källa: AEPD.