1,25 mln euro na gminę Lizbona za wielokrotne naruszenia prawa ochrony danych osobowych

1,25 mln euro na gminę Lizbona za wielokrotne naruszenia prawa ochrony danych osobowych

Portugalski organ ochrony danych („CNPD”) opublikował w dniu 14 grudnia 2021 r. swoją decyzję w sprawie nr 2021/569, w której nałożył 1,25 mln euro na gminę Lizbona za wielokrotne naruszenia prawa, a w szczególności art. 5 ust. 1 lit. a), c) i e), 6, 9 ust. 1, 13 i 35 ogólnego rozporządzenia o ochronie danych (rozporządzenie (UE) 2016/679) („RODO”), za przetwarzanie wrażliwych danych osobowych protestujących z naruszeniem zasad ochrony danych.

Tło decyzji 

W szczególności decyzja dotyczy postępowania Gminy w zakresie zbierania danych osobowych protestujących, w tym danych wrażliwych, w przypadku składania przez nich protestów oraz udostępniania tych danych wewnętrznie i zewnętrznie osobom trzecim. 

Ustalenia CNPD

W szczególności CNPD uznała, że ​​Urząd Miasta, wysyłając zawiadomienia o demonstracjach protestacyjnych, zawierające dane osobowe protestujących, do zewnętrznych podmiotów trzecich, służb wewnętrznych oraz doradców Rady Miejskiej, przetwarzał wrażliwe dane osobowe bez podstawy prawnej. Ponadto CNPD stwierdziła, że ​​Gmina Miejska podjęła się przetwarzania bez poinformowania odpowiednich osób, których dane dotyczą, bez określenia polityki ochrony ich danych osobowych oraz bez przeprowadzenia oceny skutków dla ochrony danych (ang. DPIA) wymaganej w tej sytuacji.

W związku z tym CNPD określił, że grzywna w wysokości 1,25 mln euro jest sumą 225 grzywien za różne naruszenia, których dopuściła się gmina od 2018 r., a mianowicie:

  • 111 naruszeń art. 5 ust. 1 lit. a, art. 6 i art. 9 ust. 1 lit. a RODO;
  • 111 naruszeń art. 5 ust. 1 lit. c);
  • naruszenie art. 13 ust. 1 i 2 RODO;
  • naruszenie art. 35 ust. 3 RODO; oraz
  • naruszenie art. 5 ust. 1 lit. e RODO.

Ponadto, w odniesieniu do licznych grzywien, CNPD zauważyła, że ​​czas trwania naruszeń i liczba osób, których dane dotyczą, są czynnikami zaostrzającymi grzywny, ponieważ ujawniają one uporczywy brak zobowiązań prawnych, które Gmina miała spełnić. 

CNPD zauważył ponadto, że grzywny związane z każdym naruszeniem są wymienione w pkt 255 do 266 decyzji. 

Wyniki

Ostatecznie w decyzji zauważono, że grzywna w wysokości 1,25 mln EUR staje się ostateczna i wykonalna, jeśli nie zostanie zaskarżona sądowo przez gminę, i musi zostać zapłacona w ciągu maksymalnie dziesięciu dni po jej sfinalizowaniu, wraz z przesłaniem odpowiednich dowodów płatności do CNPD. 

Możesz przeczytać informację prasową tutaj i pobrać decyzję tutaj, oba są dostępne tylko w języku portugalskim. 

Czytaj więcej