1,25 mln euro na gminę Lizbona za wielokrotne naruszenia prawa ochrony danych osobowych

Portugalski organ ochrony danych („CNPD”) opublikował w dniu 14 grudnia 2021 r. swoją decyzję w sprawie nr 2021/569, w której nałożył 1,25 mln euro na gminę Lizbona za wielokrotne naruszenia prawa, a w szczególności art. 5 ust. 1 lit. a), c) i e), 6, 9 ust. 1, 13 i 35 ogólnego rozporządzenia o ochronie danych (rozporządzenie (UE) 2016/679) („RODO”), za przetwarzanie wrażliwych danych osobowych protestujących z naruszeniem zasad ochrony danych.

Tło decyzji 

W szczególności decyzja dotyczy postępowania Gminy w zakresie zbierania danych osobowych protestujących, w tym danych wrażliwych, w przypadku składania przez nich protestów oraz udostępniania tych danych wewnętrznie i zewnętrznie osobom trzecim. 

Ustalenia CNPD

W szczególności CNPD uznała, że ​​Urząd Miasta, wysyłając zawiadomienia o demonstracjach protestacyjnych, zawierające dane osobowe protestujących, do zewnętrznych podmiotów trzecich, służb wewnętrznych oraz doradców Rady Miejskiej, przetwarzał wrażliwe dane osobowe bez podstawy prawnej. Ponadto CNPD stwierdziła, że ​​Gmina Miejska podjęła się przetwarzania bez poinformowania odpowiednich osób, których dane dotyczą, bez określenia polityki ochrony ich danych osobowych oraz bez przeprowadzenia oceny skutków dla ochrony danych (ang. DPIA) wymaganej w tej sytuacji.

W związku z tym CNPD określił, że grzywna w wysokości 1,25 mln euro jest sumą 225 grzywien za różne naruszenia, których dopuściła się gmina od 2018 r., a mianowicie:

  • 111 naruszeń art. 5 ust. 1 lit. a, art. 6 i art. 9 ust. 1 lit. a RODO;
  • 111 naruszeń art. 5 ust. 1 lit. c);
  • naruszenie art. 13 ust. 1 i 2 RODO;
  • naruszenie art. 35 ust. 3 RODO; oraz
  • naruszenie art. 5 ust. 1 lit. e RODO.

Ponadto, w odniesieniu do licznych grzywien, CNPD zauważyła, że ​​czas trwania naruszeń i liczba osób, których dane dotyczą, są czynnikami zaostrzającymi grzywny, ponieważ ujawniają one uporczywy brak zobowiązań prawnych, które Gmina miała spełnić. 

CNPD zauważył ponadto, że grzywny związane z każdym naruszeniem są wymienione w pkt 255 do 266 decyzji. 

Wyniki

Ostatecznie w decyzji zauważono, że grzywna w wysokości 1,25 mln EUR staje się ostateczna i wykonalna, jeśli nie zostanie zaskarżona sądowo przez gminę, i musi zostać zapłacona w ciągu maksymalnie dziesięciu dni po jej sfinalizowaniu, wraz z przesłaniem odpowiednich dowodów płatności do CNPD. 

Możesz przeczytać informację prasową tutaj i pobrać decyzję tutaj, oba są dostępne tylko w języku portugalskim.