Hiszpański organ ochrony danych osobowych, AEPD, nałożył karę w wysokości 365 000 euro na firmę CTC Externalización S.L. (CTC) za naruszenie przepisów ogólnego rozporządzenia o ochronie danych osobowych (RODO). Decyzja została podjęta na skutek skargi złożonej przez jednego z pracowników. Twierdził on, że firma zażądała od członków personelu odcisków palców w celu wprowadzenia systemu rejestrowania czasu pracy opartego na biometrii, nie informując ich jednak, że dane te będą przechowywane w portalu pracowniczym.
AEPD stwierdziło, że CTC nie poinformowało pracowników w odpowiedni sposób o przetwarzaniu ich danych biometrycznych, co stanowi naruszenie artykułu 13 RODO. Dodatkowo, organ zwrócił uwagę na brak dowodów ze strony CTC dotyczących tego, jakie reguły wprowadzono w odniesieniu do usuwania odcisków palców po tym, gdy przestaną one być potrzebne. CTC nie wdrożyła również środków bezpieczeństwa służących ochronie dostępu do danych biometrycznych pracowników i ich danych identyfikacyjnych, co narusza artykuł 32 RODO.
AEPD podkreśliło także, że CTC nie potraktowało przetwarzania danych biometrycznych jako przetwarzania szczególnych kategorii danych ani nie uwzględniło ryzyka dla praw i wolności pracowników, nie wypełniając swojego obowiązku przeprowadzenia oceny skutków ochrony danych (DPIA) zgodnie z artykułem 35 RODO.
W konsekwencji, AEPD nałożyło na CTC administracyjną karę pieniężną w wysokości 365 000 euro i zarządziło, aby firma tymczasowo lub na stałe ograniczyła przetwarzanie danych z systemu kontroli czasu pracy opartego na odciskach palców, do czasu przeprowadzenia DPIA. Ponadto, CTC zostało zobowiązane do wykazania w ciągu sześciu miesięcy, że poinformowało wszystkich pracowników o przetwarzaniu ich danych, ustaliło niezbędne środki bezpieczeństwa w celu zapobiegania dostępowi osób nieupoważnionych oraz że przestrzega przepisów RODO.