Nieprawidłowości w toku spisu powszechnego w Portugalii
4,3 mln euro kary wymierzył portugalski organ nadzorczy tamtejszemu instytutowi statystycznemu. Było to wynikiem stwierdzenia licznych nieprawidłowości w trakcie spisu powszechnego. Szczegóły w artykule.
Nieprawidłowości w toku spisu powszechnego
Zaczęło się od skarg wskazujących na nieprawidłowości w przetwarzaniu danych w ramach spisu powszechnego. Wpłynęły one do CNPD (portugalskiego organu nadzorczego). Dotyczyły one działalności podmiotu publicznego, a mianowicie INE czyli portugalskiego instytutu statystycznego. INE przeprowadził spis powszechny, w ramach którego przewidziano możliwość wypełnienia przez respondentów ankiety on-line za pomocą hasła dostarczonego pocztą tradycyjną.
Czego dotyczyły skargi
W skargach zarzucono bezpodstawne przetwarzanie danych osobowych w celach statystycznych. Przetwarzano bowiem dane identyfikacyjne wszystkich członków rodziny mieszkających w tym samym miejscu zamieszkania. Skargi dotyczyły również przetwarzania danych osobowych szczególnej kategorii dotyczących religii i stanu zdrowia. Poza tym zarzucono nieprawidłowości w zakresie transferu danych do państwa trzeciego. INE korzystał bowiem z usług amerykańskiej firmy Cloudflare, w związku z czym przekazywał jej dane osobowe respondentów.
Spis powszechny: dane dotyczące religii i stanu zdrowia tylko dobrowolnie
W efekcie portugalski organ nadzorczy nałożył na INE administracyjną karę pieniężną w wysokości 4,3 mln euro. Organ potwierdził, że doszło do naruszenia w zakresie przetwarzania danych szczególnej kategorii. Respondenci mieli bowiem podawać dane osobowe dotyczące religii i stanu zdrowia w sposób dobrowolny. Pytania dotyczące tych kwestii kierowane do respondentów nie zostały jednak oznaczone jako opcjonalne.
Respondenci mieli mylne przeświadczenie, że muszą odpowiedzieć także na te pytania.
Nie spełniono należycie obowiązku informacyjnego
Kolejne naruszenie dotyczyło nieprzestrzegania reguły przejrzystości poprzez nienależyte wykonanie obowiązku informacyjnego. Instytutowi statystycznemu zarzucono m.in. niewyświetlenie informacji o ochronie prywatności na stronie INE lub innej stronie.
Konieczna DPIA w związku ze spisem powszechnym
W ocenie portugalskiego organu nadzorczego w sytuacji przetwarzania danych osobowych na tak dużą skalę jak w przypadku spisu powszechnego obowiązkiem administratora było przeprowadzenie oceny skutków dla ochrony danych (DPIA). Tymczasem tak się nie stało.
Nieprawidłowości w transferze danych do USA
Zastrzeżenia dotyczyły także powierzenia przetwarzania danych z amerykańską firmą Cloudfare. Z umowy tej wynikało bowiem, że spory między stronami będą rozstrzygać kalifornijskie sądy. W ocenie portugalskiego organu nadzorczego nie spełniono przez to wymogów powierzenia przetwarzania, o których mowa w art. 28 RODO.
Co więcej, organ stwierdził, że dane były przekazywane do państwa trzeciego w oparciu o standardowe klauzule umowne, ale bez żadnych środków uzupełniających. Poza tym amerykański procesor miał możliwość przekazywania danych innym podmiotom trzecim, które nie zapewniały równoważnego poziomu ochrony gwarantowanej w UE. Administrator nie miał też kontroli nad miejscem przetwarzania powierzonych danych. Z kolei procesor w pełni kontrolował narzędzia służące do szyfrowania (deszyfrowania) przekazywanych danych.
- Regulamin Portalu PoradyODO.pl - obowiązuje od 01.01.2021 r.
- Dostęp do informacji publicznej a tajemnica bankowa
- Jak usunąć dokumenty z danymi osobowymi z akt osobowych pracownika?
- Przestępstwa związane z ochroną danych osobowych, czyli art. 107 i 108 nowej ustawy o ochronie danych osobowych
- Dane osobowe dłużników także wymagają ochrony
- Jak chronić swoje dane podczas wyborów – porady UODO
Wideo: Przegląd orzecznictwa (sierpień – listopad 2022 r.) – cz. III – decyzje zagranicznych organów nadzorczych
Poznaj najważniejsze orzeczenia zagranicznych organów nadzorczych. W podsumowaniu poruszamy zagadnienia związane m.in. z geolokalizacją, prawem dostępem do danych, cyberatakiem na gminę czy rozpoznawaniem twarzy.
