I mars beslutade Integritetsskyddsmyndigheten att ge en reprimand till Apotea AB för att ha behandlat personuppgifter i strid med art. 13 i dataskyddsförordningen. IMY konstaterade att Apotea hade rättslig grund för bolagets kamerabevakning. Däremot ansågs Apotea ha brustit i sin informationsskyldighet i samband med bevakningen.
Integritetsskyddsmyndigheten (IMY) konstaterade vid tillsyn att Apotea AB överträtt artikel 13 i dataskyddsförordningen och beslutade därför att ge bolaget en reprimand. Tillsynsärendet inleddes efter att uppgifter i media gjorde gällande att Apotea AB bedrev kamerabevakning vid sitt logistikcenter. Bland annat uppgavs att det användes bevakningskameror för att kontrollera hur arbetstagare utförde sina uppgifter och för att arbetsleda.
Apotea AB framhöll att kamerorna användes i syfte att bland annat hantera incidenter och spåra läkemedel. Rättslig grund för kameraövervakningen var den så kallade intresseavvägningen i artikel 6.1.f dataskyddsförordningen. IMY ansåg att Apotea AB hade rättslig grund för all kamerabevakning och inte använde kamerorna för att arbetsleda eller kontrollera personalen.
IMY upptäckte dock brister i Apoteas informationsskyldighet enligt dataskyddsförordningen. Den personuppgiftsansvarige ska vid all behandling, inklusive kamerabevakning, lämna information till den registrerade avseende behandlingen. Den information som ska lämnas framgår av artikel 13 dataskyddsförordningen.
Informationen ska i princip lämnas till den registrerade innan behandlingen av personuppgifterna påbörjas. Emellertid är det en stor mängd information som ska lämnas, varför den personuppgiftsansvarige kan lämna informationen i olika steg. Den information som är av störst vikt för den registrerade ska därmed lämnas först och redan innan den registrerade kliver in i det bevakade området.
Apotea AB hade satt upp skyltar med information om bevakningen i lokalerna. Skyltarna ska tydligt ange informationen av störst vikt, samt hänvisa den registrerade till var ytterligare information hittas. I förevarande fall hänvisade skyltarna till bolagets integritetspolicy, vilken kunde nås via anslag eller genom närmsta chef. IMY ansåg att det inte var relevant i förhållande till externa besökare att hänvisa till närmsta chef och att uttrycket ”nås via anslag” var för vagt. Vidare återfanns inte kontaktuppgifter i form av en postadress till den personuppgiftsansvarige på skyltarna. Den e-postadress som uppgetts kunde inte likställas med en kontaktuppgift. IMY konstaterade även att Apotea AB:s integritetspolicy saknade viss information om de registrerades rättigheter.
Sammanfattningsvis bedömde IMY att de brister som konstaterats innebar att Apotea AB hade överträtt artikel 13 i dataskyddsförordningen. Läs beslutet här.