Rakousko: případ monitorování vozidel pomocí GPS
Rakouský úřad pro ochranu osobních údajů (DSB) rozhodl, že správce údajů se protiprávně dovolával čl. 6 odst. 1 písm. f) GDPR a čl. 6 odst. 1 písm. c) GDPR jako právních základů pro zpracování osobních údajů získaných ze zařízení pro sledování GPS instalovaných na firemních vozidlech používaných jeho zaměstnanci.
Rakouský úřad pro ochranu osobních údajů (DSB) rozhodl, že správce údajů se protiprávně dovolával čl. 6 odst. 1 písm. f) GDPR a čl. 6 odst. 1 písm. c) GDPR jako právních základů pro zpracování osobních údajů získaných ze zařízení pro sledování GPS instalovaných na firemních vozidlech používaných jeho zaměstnanci.
V prosinci 2019 obdržel DSB anonymní podání, v němž se uvádí, že firma nainstalovala do svých služebních vozidel GPS-trackery, které monitorují nejen služební cesty, ale i soukromé jízdy zaměstnanců. Ve stížnosti bylo dále uvedeno, že správce údajů na základě těchto údajů vytváří profil zaměstnance.
Úřad pro ochranu osobních údajů proto zahájil šetření podle čl. 57 odst. 1 písm. h) obecného nařízení o ochraně osobních údajů a získal důkazy o následujících skutečnostech: správce údajů si pronajal 15 služebních vozidel od poskytovatele leasingu a dal je k dispozici svým zaměstnancům pro služební i soukromé jízdy. V roce 2020 požádal správce údajů společnost, která je třetí stranou, aby do každého vozidla nainstalovala sledovací zařízení GPS. Zpočátku sloužilo ke zjištění aktuální polohy vozidla na požádání; od července 2021 se GPS-systém používá také jako nástroj pro evidenci pracovní doby, služebních cest a pro výpočet cestovních výdajů. Zařízení umístěné ve vozidlech přenáší data na server a aktivuje se nastartováním motoru vozidla a deaktivuje se, jakmile se motor zastaví. Každý vůz však obsahuje také přepínač, který umožňuje řidiči deaktivovat zařízení ručně. Přenášené údaje obsahují: ujetou vzdálenost v km, datum a čas, výchozí bod, cíl a údaje o poloze vozidla (a skutečně ujetou trasu).
Správce údajů má o některých z těchto údajů (adresa, příjezd a odjezd z provozoven zákazníků) povědomí také díky koordinátorům, kteří organizují služební cesty a denně je přidělují zaměstnancům, tudíž nemusí mít nutně přístup k údajům shromážděným sledovacími zařízeními. Pro přístup k údajům generovaným sledovacími zařízeními je třeba se přihlásit do softwarové aplikace. Tyto přihlašovací údaje mají pouze zaměstnanci odpovědní za mzdové účetnictví a finanční řízení a koordinátoři. Externě má k těmto údajům přístup také společnost, která zařízení instalovala, jakožto zpracovatel údajů.
Správce údajů uvedl, že má jednak zákonnou povinnost zpracovávat údaje o poloze některých svých zaměstnanců v reálném čase podle čl. 6 odst. 1 písm. c) nařízení GDPR, jednak má na tom oprávněný zájem podle čl. 6 odst. 1 písm. f) nařízení GDPR.
Stanovisko
Úřad posoudil, zda byla volba právních základů správcem odůvodněná.
Za prvé, pokud jde o existenci oprávněného zájmu, DSB rozhodl, že oprávněný zájem správce musí být porovnán s právem zaměstnanců na ochranu údajů. Úřad vzal v úvahu zájem správce údajů na používání zařízení pro sledování GPS za účelem správného výpočtu odpracovaných hodin, výdajů vzniklých během cesty atd. který mu umožní odpovídajícím způsobem odměnit své zaměstnance. Kromě toho má správce ekonomický zájem na tom, aby racionálně odměňoval své zaměstnance a aby se vyhnul kolonám a delším trasám. Kromě toho správce údajů tvrdil, že má zájem znát v reálném čase polohu svých zaměstnanců pro případ, že by je potřeboval spontánně vyslat ke klientovi v nouzi, a to s ohledem na plnění svých povinností vůči klientům. A konečně, jelikož správce údajů nevlastní automobily, ale pronajímá si je, měl také oprávněný zájem na tom, aby byl schopen lokalizovat vozidla v reálném čase, aby se ujistil, že nejsou odcizena nebo poškozena.
S odkazem na rozsudek SDEU ve věci C-708/18 (kde šlo o oprávněné zpracování osobních údajů) DSB uznal, že druhým požadavkem pro prokázání oprávněného zájmu podle čl. 6 odst. 1 písm. f) GDPR je nezbytnost zpracování pro realizaci zájmů správce údajů, která by měla být omezena na to, co je nezbytně nutné. Přitom je třeba zjistit, zda stejného účelu nelze dosáhnout použitím méně invazivních prostředků.
S ohledem na všechny tyto skutečnosti DSB rozhodl, že vzhledem k tomu, že správce mohl znát polohu zaměstnanců tím, že by se interních koordinátorů zeptal, k jakému klientovi byli přiděleni, nebylo nutné, aby správce využíval zařízení pro sledování GPS za účelem přístupu k jejich poloze v reálném čase. Dále vzhledem k tomu, že většina služebních cest se týkala dodávek jednotlivých náhradních dílů, nemohl správce údajů tvrdit, že by potřeboval znát aktuální polohu svých zaměstnanců při spontánních cestách, neboť zaměstnanci nemohou spontánně odjet k jinému klientovi bez požadovaného náhradního dílu.
Kromě toho neshledal úřad žádný oprávněný důvod k tvrzení, že použití sledovacích zařízení by bylo nezbytné k podstatnému usnadnění administrativní povinnosti správce údajů spočívající v evidenci pracovní doby a výpočtu cestovních výdajů, neboť to lze snadno provést i bez použití sledovacích zařízení GPS. A za další správce údajů nepředložil důkazy o potřebě zabránit poškození nebo odcizení pronajatých vozidel. Úřad proto rozhodl, že v daném případě, kdy chybí požadavek nezbytnosti zpracování, se správce údajů nemůže dovolávat čl. 6 odst. 1 písm. f) obecného nařízení o ochraně osobních údajů jako právního základu pro zpracování osobních údajů svých zaměstnanců prostřednictvím sledovacích zařízení.
Pokud jde o existenci právní povinnosti, která se na správce údajů vztahuje, podle čl. 6 odst. 1 písm. c) GDPR, DSB rozhodl, že i v případě, že je dána právní povinnost, musí zpracování stále probíhat v souladu se zásadami zpracování zakotvenými v čl. 5 odst. 1 GDPR. V tomto případě se správce údajů opíral o ustanovení rakouského zákona o pracovní době, které zaměstnavatelům ukládá povinnost vést přesnou a úplnou evidenci odpracovaných hodin svých zaměstnanců, přičemž umožňuje i používání digitálních zařízení. Podle názoru správce údajů by mu použití zařízení pro sledování GPS umožnilo získat přesnější, správnější a okamžité údaje o odpracovaných hodinách jeho zaměstnanců. DSB však zdůraznil, že zařízení GPS-tracker se k evidenci pracovní doby používá až od července 2021 a předtím se vše zaznamenávalo ručně, přičemž správce údajů nepředložil žádné důkazy o tom, že by to vedlo k nesprávným nebo nepřesným údajům o pracovní době. V důsledku toho úřad pro ochranu osobních údajů rozhodl, že se správce údajů nemůže dovolávat čl. 6 odst. 1 písm. c) nařízení GDPR jako právního základu pro zpracování, neboť účelu takového zpracování lze dosáhnout i méně invazivními prostředky v souladu se zásadou minimalizace údajů podle čl. 5 odst. 1 písm. c) nařízení GDPR.
DSB proto rozhodl, že správce údajů tím, že sledoval 15 firemních vozidel používaných jeho zaměstnanci bez platného právního základu pro zpracování údajů, porušil GDPR. Úřad proto správci údajů nařídil, aby okamžitě zastavil všechny operace zpracování prováděné prostřednictvím zmíněného systému sledování GPS.