Boete voor ontbreken DPIA bij mobiliteitsapplicatie
De Italiaanse gegevensbeschermingsautoriteit heeft een boete van € 50.000 euro opgelegd voor verschillende overtredingen met betrekking tot een mobiliteitsapplicatie die in de auto van een werknemer van een derde bedrijf was geïnstalleerd.
De verwerkingsverantwoordelijke (Giessegi Industria Mobili S.p.A.) installeerde geolokalisatie apparatuur om voertuigen te volgen die namens hem goederen afleverden. Deze voertuigen waren niet rechtstreeks eigendom van de verantwoordelijke voor de verwerking, maar van een derde onderneming waaraan de verantwoordelijke voor de verwerking bepaalde diensten uitbesteedde. De betrokkene was een chauffeur in dienst van dit derde bedrijf en had geen directe contractuele relatie met de voor de verwerking verantwoordelijke.
Na de beëindiging van de overeenkomst met de verwerker heeft de verwerkingsverantwoordelijke de apparaten uitgefaseerd. De verwerkingsverantwoordelijke vergat echter één van de apparaten te verwijderen, die vervolgens door de betrokkene in de motor van zijn auto werd gevonden. Benadrukt moet worden dat toen de betrokkene het apparaat vond, de overeenkomst tussen de verwerkingsverantwoordelijke en het bedrijf van de betrokkene ook niet meer van kracht was.
De verwerkingsverantwoordelijke beweerde dat de geolokalisatie apparatuur gekoppeld was aan het kenteken en niet aan personen. Aangezien de controller niet wist wie de bestuurder was, konden geolocatiegegevens niet worden beschouwd als persoonsgegevens onder de AVG. De Italiaanse gegevensbeschermingsautoriteit startte een onderzoek naar mogelijke schendingen van artikel 5, lid 1, onder a), artikel 6, artikel 13, artikel 28, lid 1, en artikel 35 AVG.
De Italiaanse gegevensbeschermingsautoriteit verwierp het argument van de verwerkingsverantwoordelijke en verduidelijkte dat "persoonsgegevens" niet alleen betrekking hebben op een geïdentificeerde persoon, maar ook op een identificeerbare persoon, zoals in het onderhavige geval. Giessegi was de voor de verwerking verantwoordelijke, aangezien zij het doel van en de middelen voor de verwerking bepaalde. De Italiaanse gegevensbeschermingsautoriteit heeft vervolgens een aantal schendingen vastgesteld.
In de eerste plaats heeft Giessegi artikel 5, lid 1, sub a, en artikel 13 AVG geschonden, aangezien zij de betrokkene geen behoorlijk privacybeleid heeft verstrekt.
Ook artikel 28 AVG werd geschonden, aangezien er geen verwerkingsovereenkomst bestond tussen Giessegi en de verwerker.
Met betrekking tot de tijd na het einde van de overeenkomst tussen Giessegi en het bedrijf dat de betrokkene in dienst had, was er ook een schending van artikel 6 AVG. Er was geolokalisatie apparatuur geïnstalleerd om de uitvoering van de overeenkomst tussen Giessegi en het leveringsbedrijf van de betrokkene te controleren. Na de beëindiging van een dergelijke overeenkomst kon de verantwoordelijke voor de verwerking zich echter niet meer beroepen op artikel 6, lid 1, onder b). Daarom verwerkte hij persoonsgegevens zonder rechtsgrondslag.
Ten slotte stelde de gegevensbeschermingsautoriteit een schending van artikel 35 AVG vast. Er was namelijk geen DPIA. Onder verwijzing naar de richtsnoeren van artikel 29 WP stelde de gegevensbeschermingsautoriteit dat locatiegegevens "zeer persoonlijk" zijn en dat werknemers kwetsbare betrokkenen zijn. Bijgevolg had de verantwoordelijke voor de verwerking artikel 35 AVG moeten toepassen.
In het licht van het bovenstaande maakte de Italiaanse gegevensbeschermingsautoriteit gebruik van haar corrigerende bevoegdheden op grond van artikel 58, lid 2, onder c), en artikel 83 AVG en legde zij de verwerkingsverantwoordelijke een boete van €50.000 euro op.
Bron: GDPRhub.eu