Boete voor het onrechtmatig geo-tracken van werknemers
De Italiaanse gegevensbeschermingsautoriteit (GPDP) heeft een boete van 50.000 euro opgelegd aan een lokale overheidsinstantie voor het onrechtmatig geo-tracken van werknemers tijdens werken op afstand om de naleving van arbeidsovereenkomsten te controleren. De GPDP verduidelijkte dat werkgevers geen tuchtprocedure kunnen aanspannen op basis van onrechtmatig verzamelde gegevens.
Feiten
Het Calabrische regionale agentschap voor landbouwontwikkeling (de controller) implementeerde een beleid voor werken op afstand dat werknemers verplichtte om een tijdregistratietoepassing genaamd "Time Relax" te gebruiken wanneer ze op afstand werkten. De applicatie vereiste dat werknemers locatieservices op hun apparaten inschakelden en hun precieze geografische coördinaten verzamelden tijdens in- en uitklokprocedures. De verwerkingsverantwoordelijke gebruikte deze geolocatiegegevens om te verifiëren dat werknemers werkten vanaf locaties die waren gespecificeerd in hun individuele overeenkomsten voor werken op afstand.
Naast het routinematig volgen van de locatie tijdens de dagelijkse tijdstempels, voerde de controller gerichte inspecties uit van specifieke medewerkers. Tijdens deze inspecties belde een officier de werknemer tijdens zijn beschikbaarheidsuren en vroeg hem om dubbele tijdstempels uit te voeren (in- en uitklokken) via de Time Relax-applicatie. De werknemer moest vervolgens een e-mail sturen met zijn exacte locatie tijdens de inspectie. De officier zou vervolgens controleren of de aangegeven locatie overeenkwam met zowel de e-mailverklaring als de locatiegegevens die door de applicatie waren geregistreerd.
Een medewerker van de verwerkingsverantwoordelijke (de betrokkene) werd aan een dergelijke controle onderworpen. De controleur constateerde dat er verschillen waren tussen de locatie waar hij had aangegeven in de overeenkomst voor werken op afstand en de locatie waar hij zich tijdens de inspectie daadwerkelijk had gevestigd. Op deze gronden heeft de verwerkingsverantwoordelijke een tuchtprocedure tegen de betrokkene ingeleid.
De betrokkene diende een klacht in bij de gegevensbeschermingsautoriteit wegens vermeende schendingen van de beginselen inzake gegevensbescherming. Daarnaast heeft het ministerie van Bestuurskunde de praktijken van de verwerkingsverantwoordelijke gerapporteerd aan de gegevensbeschermingsautoriteit.
Tijdens de procedure voerde de verwerkingsverantwoordelijke aan dat de monitoring werd uitgevoerd met toestemming van haar werknemers. De controleur wees er ook op dat zijn controlesysteem werd geïmplementeerd in overeenstemming met vakbondsvertegenwoordigers, zoals vereist door de Italiaanse arbeidswetgeving.
Beslissing
Over doelbinding en Italiaans recht
De gegevensbeschermingsautoriteit verduidelijkte dat in de Italiaanse wetgeving het op afstand monitoren van werknemers verboden is, met beperkte uitzonderingen wanneer het toezicht noodzakelijk is voor wettelijk gespecificeerde doeleinden ("voor organisatorische en productieve behoeften"; "voor veiligheid op de werkplek"; "ter bescherming van het vermogen van de vennootschap").
De GPDP oordeelde dat monitoring op afstand in dit geval niet onder een vrijstelling viel en illegaal was volgens de Italiaanse wet.
Om deze reden concludeerde de GPDP dat de verwerking in strijd was met het beginsel van doelbinding (artikel 5, lid 1, onder b), AVG), aangezien de verwerking een onrechtmatig doel nastreefde naar Italiaans recht.
In dit verband achtte de GPDP het irrelevant dat vakbondsvertegenwoordigers vooraf instemden met het monitoringsysteem. De GPDP verduidelijkte dat het gegevensbeschermingsrecht en het arbeidsrecht complementair zijn. Een overeenkomst met vakbondsvertegenwoordigers stelde de verwerkingsverantwoordelijke dus niet vrij van de verplichting om de GDPR na te leven.
Andere bevindingen van de GPDP
Ten tweede oordeelde de GPDP dat de verwerkingsverantwoordelijke geen geldige toestemming van haar werknemers kon verkrijgen. In dit verband verwees de GPDP naar de richtsnoeren van de EDPB en de WP29, alsook naar de eigen jurisprudentie van de GBA[1].
De GPDP was ook van mening dat de verwerkingsverantwoordelijke had nagelaten een Data Protection Impact Assessment (DPIA) uit te voeren. Aangezien de verwerking van geolocatiegegevens van werknemers in de context van werken op afstand grote risico's met zich meebrengt voor de rechten en vrijheden, met name gezien de kwetsbaarheid van werknemers in de context van de werkplek en de systematische monitoring die daarmee gepaard gaat, was een DPIA duidelijk vereist op grond van artikel 35 AVG.
Bovendien constateerde de gegevensbeschermingsautoriteit dat het systematisch verzamelen van nauwkeurige locatie-informatie verder ging dan wat nodig was voor het beheren van regelingen voor werken op afstand. De monitoring was dus in strijd met het beginsel van gegevensminimalisatie en met artikel 113 van de Italiaanse wet op de gegevensbescherming.
De gegevensbeschermingsautoriteit stelde verder vast dat de verwerkingsverantwoordelijke de transparantievereisten van artikel 13 AVG had geschonden omdat de documentatie van de verwerkingsverantwoordelijke niet alle vereiste essentiële informatie bevatte. Bovendien was de documentatie met de informatie nooit bedoeld als privacyverklaring en was deze opgesteld om aan andere verplichtingen te voldoen.
Ten slotte verduidelijkte de gegevensbeschermingsautoriteit dat werkgevers volgens het Italiaanse arbeidsrecht onrechtmatig verzamelde gegevens niet mogen gebruiken voor tuchtprocedures, zoals de verwerkingsverantwoordelijke in het onderhavige geval heeft gedaan. De verdere verwerking van persoonsgegevens in het kader van een tuchtprocedure is derhalve in strijd met artikel 5, lid 1, onder a) en b) en artikel 6 van de AVG.
Om deze redenen heeft de gegevensbeschermingsautoriteit schendingen vastgesteld van artikel 5, lid 1, onder a), b) en c), en artikel 6 van de AVG, evenals artikel 113 van de Italiaanse wet op de gegevensbescherming. Op deze gronden heeft de GPDP de verwerkingsverantwoordelijke een boete van € 50.000 opgelegd.
Bron: Garante per la protezione dei dati personali (Italië) - 10128005 - GDPRhub (machine vertaling)