Två tidigare anställda på en restaurang lämnade in ett klagomål till den österrikiska dataskyddsmyndigheten då de upptäckte att de blivit inspelade av kameror på arbetsplatsen, och att arbetsgivaren kunde få tillgång till inspelningarna när som helst. Restaurangen hävdade att kamerorna var till för att skydda egendom och anställda, och att behandlingen av uppgifterna baserades på de anställdas samtycke enligt GDPR. De angav också att inspelningarna sparades i 14 dagar innan de automatiskt raderades.
Dataskyddsmyndigheten beslutade att restaurangen hade brutit mot de anställdas rätt till integritet genom att installera kameror som olagligt spelade in köksområdet, inte bara utsidan. Myndigheten påpekade också att restaurangen inte följt reglerna kring registerförteckning i GDPR då de inte fört register över sina behandlingsaktiviteter. Dataskyddsmyndigheten inledde ett sanktionsförfarande mot restaurangen och begärde ytterligare förklaringar. Restaurangen bytte då den lagliga grunden för behandlingen från samtycke till att behandlingen var nödvändig för ett allmänt intresse,
Dataskyddsmyndigheten konstaterade att restaurangen haft kameror som spelade in både utsidan och flera inomhusområden utan att föra register över behandlingsaktiviteter. Myndigheten bedömde att restaurangen inte kunde visa att de anställda hade gett sitt samtycke till inspelningarna, och därmed inte kunde visa efterlevnad av GDPR. När restaurangen bytte till att behandlingen ansågs vara nödvändig som laglig grund, fann myndigheten att detta var otillåtet eftersom det gjordes för att kringgå bristen på giltigt samtycke.
DSB fastställde att behandlingen av personuppgifter var olaglig och att lagringstiden för inspelningarna var för lång, vilket stred mot GDPR. Dessutom påpekade myndigheten att restaurangen inte kunde rättfärdiga sin brist på register över behandlingsaktiviteter. På grund av alla dessa överträdelser bedömer dataskyddsmyndigheten att överträdelsen var allvarlig och beslutade att utfärda en sanktionsavgift på £20,000.
