Boete voor cameratoezicht zonder DPIA

De Noorse Gegevensbeschermingsautoriteit heeft een schoonheidssalon een boete van ongeveer € 9.473  (100.000 NOK) opgelegd voor het onrechtmatig installeren van cameratoezicht dat de algemeen manager via een mobiele app op haar telefoon voortdurend live toegang gaf tot beelden en geluid. Het bedrijf had de werknemers of klanten niet ingelicht over dit toezicht.

Een vakbond diende een klacht in tegen een verwerkingsverantwoordelijke wegens onrechtmatig gebruik van cameratoezicht in het bedrijf. Volgens de klager was de camera geplaatst omdat zij een collectieve arbeidsovereenkomst eisten voor hun leden (d.w.z. de werknemers van de zaak). De camera, die gericht was op de receptie en het gebied naar de behandelkamer, had een ingebouwde microfoon en luidspreker, bewegingssensor, full HD, 130 graden beeld en werd geleverd met een mobiele app met realtime toegang en toegang tot opnames van de laatste zeven dagen.

De algemeen manager van de zaak had de mobiele app op haar telefoon geïnstalleerd en had, volgens de werknemers, met geen van hen het gebruik van cameratoezicht besproken of geïnformeerd. De algemeen manager beweerde echter dat zij dit niet alleen met de werknemers had besproken, maar dat zij haar hadden verzocht de camera te installeren vanwege geweldsincidenten en andere criminaliteit in de omgeving. Desondanks kon zij geen documentatie of bewijs overleggen van deze bespreking en overeenkomst met de werknemers, die zij onnodig achtte omdat de zaak zo klein is en mondelinge afspraken zouden moeten volstaan.

Het cameratoezicht werd uiteindelijk stopgezet, maar alleen omdat de camera zelf niet meer werkte.

De Noorse Gegevensbeschermingsautoriteit (Datatilsynet) oordeelde dat de verantwoordelijke voor de verwerking de artikelen 5, lid 1, onder a) en c), 6, 12, lid 1, en 13 GDPR had geschonden en legde de verantwoordelijke voor de verwerking een boete op van NOK 100.000 (ongeveer € 9.473). De boete werd verlaagd van 150.000 Noorse kronen omdat het bedrijf een lagere omzet had als gevolg van de omstandigheden rond COVID-19.

De Noorse Gegevensbeschermingsautoriteit benadrukte in het bijzonder dat:

  • De camera had een groothoeklens die 130 graden kon vastleggen.
  • De camera was gericht op de ontvangstruimte en de ruimte in de richting van de behandelkamer.
  • De camera was in staat om geluid op te nemen.
  • De algemeen manager had op afstand toegang via een mobiele app op haar mobiele telefoon.
  • De camera was ingeschakeld en het toezicht was te allen tijde actief, ook met bewegingssensor.


Voorts merkte de gegevensbeschermingsautoriteit op dat de voor de verwerking verantwoordelijke een gegevensbeschermingseffectbeoordeling (Data Protection Impact Assessment - DPIA) had moeten uitvoeren voordat hij de camera installeerde en andere, minder invasieve manieren had moeten overwegen om het beweerde doel te bereiken.

Vertaald met www.DeepL.com/Translator (gratis versie)

Bron: GDPRhub

Naar het overzicht