En fransk varehuskæde fik en millionbøde for et scannerbaseret system, der registrerede medarbejdernes opgaver og inaktivitet i realtid. Tilsynet fandt brud på legitim interesse, dataminimering, oplysningspligt og sikkerhed. Sagen markerer snævre rammer for arbejdspladsovervågning.
Datatilsynets vurdering
43 indikatorer og månedsvise historikker gav en detaljeret profil af produktivitet og pauser. Myndigheden vurderede, at behandlingen var mere indgribende end nødvendigt i forhold til formålet, hvorfor interesseafvejningen ikke kunne bære som retsgrundlag.
Gennemsigtigheden var utilstrækkelig, fordi medarbejderne ikke fik fyldestgørende information om formål, opbevaring og adgang. Samtidig var de tekniske og organisatoriske foranstaltninger ikke tilstrækkelige i lyset af datamængden og den løbende overvågning.
Konsekvenser for arbejdsgivere
Før implementering af kontrolforanstaltninger bør arbejdsgivere dokumentere nødvendighed, afsøge mindre indgribende alternativer og gennemføre en DPIA ved høj risiko. Behandlingen skal begrænses til det nødvendige, og opbevaringsperioder, adgang og logning skal fastlægges.
Manglende efterlevelse kan udløse betydelige bøder og krav fra medarbejdere. CNILs sag 2023-021 understreger, at realtidsovervågning kræver skærpet proportionalitet, klar information og robuste sikkerhedsforanstaltninger.
