Aktualny

Nieprawidłowości w toku spisu powszechnego w Portugalii

Dodano: 28 grudnia 2022
9f62593567a0df58dae30a29ae617694c7d91d62-xlarge (1)

4,3 mln euro kary wymierzył portugalski organ nadzorczy tamtejszemu instytutowi statystycznemu. Było to wynikiem stwierdzenia licznych nieprawidłowości w trakcie spisu powszechnego. Szczegóły w artykule.

Nieprawidłowości w toku spisu powszechnego

Zaczęło się od skarg wskazujących na nieprawidłowości w przetwarzaniu danych w ramach spisu powszechnego. Wpłynęły one do CNPD (portugalskiego organu nadzorczego). Dotyczyły one działalności podmiotu publicznego, a mianowicie INE czyli portugalskiego instytutu statystycznego. INE przeprowadził spis powszechny, w ramach którego przewidziano możliwość wypełnienia przez respondentów ankiety on-line za pomocą hasła dostarczonego pocztą tradycyjną.

Czego dotyczyły skargi

W skargach zarzucono bezpodstawne przetwarzanie danych osobowych w celach statystycznych. Przetwarzano bowiem dane identyfikacyjne wszystkich członków rodziny mieszkających w tym samym miejscu zamieszkania. Skargi dotyczyły również przetwarzania danych osobowych szczególnej kategorii dotyczących religii i stanu zdrowia. Poza tym zarzucono nieprawidłowości w zakresie transferu danych do państwa trzeciego. INE korzystał bowiem z usług amerykańskiej firmy Cloudflare, w związku z czym przekazywał jej dane osobowe respondentów.

Spis powszechny: dane dotyczące religii i stanu zdrowia tylko dobrowolnie

W efekcie portugalski organ nadzorczy nałożył na INE administracyjną karę pieniężną w wysokości 4,3 mln euro. Organ potwierdził, że doszło do naruszenia w zakresie przetwarzania danych szczególnej kategorii. Respondenci mieli bowiem podawać dane osobowe dotyczące religii i stanu zdrowia w sposób dobrowolny. Pytania dotyczące tych kwestii kierowane do respondentów nie zostały jednak oznaczone jako opcjonalne.

Uwaga

Respondenci mieli mylne przeświadczenie, że muszą odpowiedzieć także na te pytania.

Nie spełniono należycie obowiązku informacyjnego

Kolejne naruszenie dotyczyło nieprzestrzegania reguły przejrzystości poprzez nienależyte wykonanie obowiązku informacyjnego. Instytutowi statystycznemu zarzucono m.in. niewyświetlenie informacji o ochronie prywatności na stronie INE lub innej stronie.

Konieczna DPIA w związku ze spisem powszechnym

W ocenie portugalskiego organu nadzorczego w sytuacji przetwarzania danych osobowych na tak dużą skalę jak w przypadku spisu powszechnego obowiązkiem administratora było przeprowadzenie oceny skutków dla ochrony danych (DPIA). Tymczasem tak się nie stało.

Nieprawidłowości w transferze danych do USA

Zastrzeżenia dotyczyły także powierzenia przetwarzania danych z amerykańską firmą Cloudfare. Z umowy tej wynikało bowiem, że spory między stronami będą rozstrzygać kalifornijskie sądy. W ocenie portugalskiego organu nadzorczego nie spełniono przez to wymogów powierzenia przetwarzania, o których mowa w art. 28 RODO.

Co więcej, organ stwierdził, że dane były przekazywane do państwa trzeciego w oparciu o standardowe klauzule umowne, ale bez żadnych środków uzupełniających. Poza tym amerykański procesor miał możliwość przekazywania danych innym podmiotom trzecim, które nie zapewniały równoważnego poziomu ochrony gwarantowanej w UE. Administrator nie miał też kontroli nad miejscem przetwarzania powierzonych danych. Z kolei procesor w pełni kontrolował narzędzia służące do szyfrowania (deszyfrowania) przekazywanych danych.

WIDEOSZKOLENIA »

Bezpieczne przechowywanie danych w chmurze

Bezpieczne przechowywanie danych w chmurze

Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.

14.06.2024 czytaj więcej »

ZMIANY W PRAWIE »

Nasi partnerzy i zdobyte nagrody » 


Nagrody i wyróżnienia» 

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

24-h bezpłatny test portalu!
Zyskaj pełen dostęp do bazy porad i aktualności!

SPRAWDŹ »

x