Constatarea Autorității Slovene pentru Protecția Datelor în contextul utilizării GPS de către un angajator din sectorul privat

Centrul Național pentru Protecția Datelor cu Caracter Personal (CNPDCP), cu titlu informativ și aplicativ, comunică despre emiterea unei prescripții de conformitate în baza articolului 5.1(c) și 6.1(f) din GDPR, în adresa unui operator de date cu caracter personal – angajator din sectorul privat, de către Autoritatea Slovenă pentru Protecția Datelor (SA).

În urma anchetei, SA Slovenă a stabilit că operatorul de date a efectuat urmărirea prin GPS a opt vehicule ale companiei. Vehiculele au fost folosite de către angajați ca vehicule pentru livrarea de bunuri și de pasageri. Urmărirea a fost efectuată de un transmițător special din vehicul și monitorizată de o aplicație care a înregistrat continuu distanța parcursă. Indivizii erau identificabili. Totodată, a fost creată o înregistrare specială care conținea un volum mare de date despre locația angajaților. Datele au fost prelucrate continuu, sistematic și automat, astfel încât angajatorul să poată stabili în orice moment unde se află o persoană care călătorește cu unul dintre vehicule. Datele puteau fi accesate și retroactiv. Angajatorul putea determina cu ușurință angajatul care folosea vehiculul companiei și căruia îi sunt atribuite datele de localizare.

SA Slovenă a confirmat că asigurarea securității proprietății poate fi un interes legitim al operatorului de date, dar operatorul nu a demonstrat că modul în care a fost efectuată această măsură a fost adecvat și necesar. Urmărirea prin GPS a fost efectuată și în timp ce vehiculul și proprietatea din acesta se aflau sub supravegherea constantă și directă a unui angajat. SA Slovenă a hotărât că, în cazul specific, urmărirea prin GPS poate fi utilizată doar astfel încât șoferul să poată porni GPS-ul în locația în care vehiculul, echipamentele și documentele ar putea fi în pericol și să îl dezactiveze după întoarcerea acestuia în vehicul când bunurile protejate se aflau din nou sub supravegherea directă a angajatului. În ceea ce privește siguranța persoanelor în caz de accidente de circulație, SA Slovenă a decis că urmărirea constantă prin GPS este disproporționată. Locul accidentului este de obicei cunoscut și ar putea fi raportat de însuși șoferul. Operatorul de date ar trebui să utilizeze o măsură mai puțin intruzivă privind confidențialitatea informațiilor individuale. În acest context, SA Slovenă a decis că operatorul nu a demonstrat interesul legitim în conformitate cu articolul 6.1 (f) și că urmărirea GPS nu a fost în conformitate cu principiul minimizării datelor (articolul 5.1 (c) din GDPR), dispunând operatorului să înceteze prelucrarea datelor angajaților care au fost colectate prin urmărire GPS în mod continuu, sistematic și automat.

CNPDCP, în calitate de autoritate națională de supraveghere a prelucrării datelor cu caracter personal, accentuează asupra responsabilității operatorilor de date cu caracter personal de a respecta prevederile cadrului legislativ în materie de protecție a datelor cu caracter personal și de a se asigura că operațiunile de prelucrare a datelor cu caracter personal sunt conforme legislației în vigoare.