Η εταιρεία χρησιμοποιούσε τεχνολογίες αναγνώρισης προσώπου για να ελέγχει την παρουσία των υπαλλήλων, ενώ παράλληλα τους υποχρέωνε να καταχωρούν όλες τις καθημερινές δραστηριότητές τους σε ειδικό λογισμικό.
Πολλαπλές παραβάσεις των διατάξεων του Γενικού Κανονισμού Προστασίας Δεδομένων διαπίστωσε η ιταλική αρχή προστασίας δεδομένων Garante, επιβάλλοντας στον υπεύθυνο επεξεργασίας διοικητικό πρόστιμο 120.000 ευρώ.
Ο υπεύθυνος επεξεργασίας είναι μια αντιπροσωπεία αυτοκινήτων, που διατηρεί δύο εγκαταστάσεις – συνεργεία στη Μόντικα και τη Ραγκούζα της Σικελίας. Σύμφωνα με την καταγγελία που υποβλήθηκε στη Garante από εργαζόμενο στις 5 Οκτωβρίου 2021, η εταιρεία πραγματοποιούσε παράνομη επεξεργασία των προσωπικών δεδομένων των 40 υπαλλήλων της με δύο διαφορετικές πρακτικές:
– αφενός επεξεργαζόταν βιομετρικά δεδομένα τους μέσω του συστήματος X-Face 380 που είχε εγκαταστήσει στις εισόδους των χώρων εργασίας,
– αφετέρου τους υποχρέωνε να καταχωρούν με προσωπικούς κωδικούς στο ειδικό λογισμικό Infinity DMS οτιδήποτε έκαναν στη διάρκεια του ωραρίου τους: ποια αυτοκίνητα επισκεύαζαν και για πόση ώρα, πόσο χρόνο έκαναν διάλειμμα ή δεν εργάζονταν και για ποιο λόγο (πχ. λόγω έλλειψης ανταλλακτικών).
Η καταγγελλόμενη εταιρεία υπερασπίστηκε τη νομιμότητα των πράξεων επεξεργασίας αυτών, προβάλλοντας τον ισχυρισμό πως είχε ενημερώσει πλήρως το προσωπικό της. Ως προς τη νομιμότητα της επεξεργασίας βιομετρικών μέσω αναγνώρισης προσώπου, η εταιρεία δήλωσε αρχικώς πως είχε λάβει τη συγκατάθεση των υποκειμένων, ενώ ακολούθως και ενώπιον της αρχής επικαλέστηκε την εξαίρεση του άρθρου 9 παρ.2β’ ΓΚΠΔ ως προς την επεξεργασία ευαίσθητων δεδομένων από εργοδότη.
Ως προς την επεξεργασία των «απλών» δεδομένων, η καταγγελλόμενη περιορίστηκε σε γενικές αναφορές στην τήρηση των αρχών επεξεργασίας του άρθρου 5, επισημαίνοντας ταυτόχρονα πως η επεξεργασία αυτή είχε επιβληθεί από τη μητρική εταιρεία της, για σκοπούς ελέγχου της ποιότητας και αποτελεσματικότητας των παρεχομένων υπηρεσιών.
Η κρίση της Garante
Η ιταλική αρχή έκρινε πως αμφότερες οι πρακτικές ήταν παράνομες και παραβίαζαν σειρά διατάξεων του Γενικού Κανονισμού.
Ως προς τη χρήση τεχνολογίας αναγνώρισης προσώπου για τον έλεγχο της παρουσίας των εργαζομένων, η Garante επεσήμανε πως κατ’ επανάληψη έχει κρίνει ότι αυτή δεν είναι επιτρεπτή, όταν δεν παρέχεται εναλλακτική και ηπιότερη επιλογή στα υποκείμενα των δεδομένων.
Η ιταλική αρχή απέρριψε τις δύο εξαιρέσεις του άρθρου 9, που είχε επικαλεστεί η εταιρεία, κρίνοντας πως η μεν συγκατάθεση των εργαζομένων ήταν ακατάλληλη για νομιμοποίηση της επεξεργασίας αυτής, δεδομένης της ανισορροπίας ισχύος στη σχέση τους με τον εργοδότη, η δε εκτέλεση υποχρεώσεων και άσκηση δικαιωμάτων του εργοδότη πρέπει να πηγάζει από τον νόμο, κάτι το οποίο δεν συνέβαινε εν προκειμένω. Κατά τούτο, η καταγγελλόμενη είχε παραβιάσει το άρθρο 9 παρ.2β’ ΓΚΠΔ.
Παράλληλα, η καταγγελλόμενη δεν κατάφερε να τεκμηριώσει την αναγκαιότητα της επεξεργασίας βιομετρικών δεδομένων, ως αποκλειστικής πρακτικής που ακολουθείτο, κατά παράβαση της αρχής της ελαχιστοποίησης του άρθρου 5 παρ.1γ’ ΓΚΠΔ, ενώ δεν είχε λάβει και τα κατάλληλα μέτρα για τη ρύθμιση της περιόδου διατήρησης των βιομετρικών δεδομένων, τα οποία διατηρούνταν μέχρι τη λύση της σχέσης εργασίας του υποκειμένου, παραβιάζοντας έτσι και την αρχή του περιορισμού της περιόδου διατήρησης του άρθρου 5 παρ.1ε’ ΓΚΠΔ.
Τέλος, η ιταλική αρχή έκρινε πως η ενημέρωση που είχε δοθεί στα υποκείμενα των δεδομένων ως προς τη λειτουργία του συστήματος αναγνώρισης προσώπου ήταν ανεπαρκής, κατά παράβαση της αρχής της διαφάνειας του άρθρου 5 παρ.1α’ ΓΚΠΔ και της υποχρέωσης ενημέρωσης του άρθρου 13 ΓΚΠΔ.
Ως προς το λογισμικό Infinity DMS, η Garante καταρχήν παρατήρησε πως δεν έλαβε ποτέ ενημέρωση από την εταιρεία ως προς τα ειδικότερα χαρακτηριστικά της λειτουργίας του, με την καταγγελλόμενη να απαντά με ασάφεια ως προς τα προσωπικά δεδομένα που συλλέγονταν και τις πράξεις επεξεργασίας που διενεργούνταν μέσω αυτού.
Αντίστοιχες ήταν οι ασάφειες που χαρακτήριζαν το κείμενο ενημέρωσης που είχε δοθεί στους εργαζόμενους, με την ιταλική αρχή να διαπιστώνει την παραβίαση της αρχής της διαφάνειας του άρθρου 5 παρ.1α’ ΓΚΠΔ και της υποχρέωσης ενημέρωσης του άρθρου 13 ΓΚΠΔ. Όπως παρατήρησε η αρχή, η μόνη πληροφορία που δινόταν μέσω του κειμένου αυτού ήταν πως η εταιρεία επεξεργάζεται τα δεδομένα σύμφωνα με τις αρχές της ακρίβειας, της νομιμότητας και της διαφάνειας.
Από τα κενά του κειμένου ενημέρωσης προέκυψε και μια τελευταία παραβίαση που διαπιστώθηκε από την αρχή: η απουσία νομικής βάσης. Η Garante παρατήρησε πως η εταιρεία δεν εξηγούσε στους εργαζόμενους ποια ήταν η νομική βάση, στην οποία στήριζε την επεξεργασία των δεδομένων τους μέσω του λογισμικού, ενώ η νομική βάση αυτή δεν προέκυπτε ούτε από τα έγγραφα που προσκομίστηκαν ενώπιόν της. Κατά συνέπεια, η εταιρεία είχε παραβιάσει και το άρθρο 6 ΓΚΠΔ.
Το πλήρες κείμενο της απόφασης είναι διαθέσιμο εδώ.
