4,3 mln euro kary wymierzył portugalski organ nadzorczy tamtejszemu instytutowi statystycznemu. Było to wynikiem stwierdzenia licznych nieprawidłowości w trakcie spisu powszechnego. Szczegóły w artykule.
Zaczęło się od skarg wskazujących na nieprawidłowości w przetwarzaniu danych w ramach spisu powszechnego. Wpłynęły one do CNPD (portugalskiego organu nadzorczego). Dotyczyły one działalności podmiotu publicznego, a mianowicie INE czyli portugalskiego instytutu statystycznego. INE przeprowadził spis powszechny, w ramach którego przewidziano możliwość wypełnienia przez respondentów ankiety on-line za pomocą hasła dostarczonego pocztą tradycyjną.
W skargach zarzucono bezpodstawne przetwarzanie danych osobowych w celach statystycznych. Przetwarzano bowiem dane identyfikacyjne wszystkich członków rodziny mieszkających w tym samym miejscu zamieszkania. Skargi dotyczyły również przetwarzania danych osobowych szczególnej kategorii dotyczących religii i stanu zdrowia. Poza tym zarzucono nieprawidłowości w zakresie transferu danych do państwa trzeciego. INE korzystał bowiem z usług amerykańskiej firmy Cloudflare, w związku z czym przekazywał jej dane osobowe respondentów.
W efekcie portugalski organ nadzorczy nałożył na INE administracyjną karę pieniężną w wysokości 4,3 mln euro. Organ potwierdził, że doszło do naruszenia w zakresie przetwarzania danych szczególnej kategorii. Respondenci mieli bowiem podawać dane osobowe dotyczące religii i stanu zdrowia w sposób dobrowolny. Pytania dotyczące tych kwestii kierowane do respondentów nie zostały jednak oznaczone jako opcjonalne.
Respondenci mieli mylne przeświadczenie, że muszą odpowiedzieć także na te pytania.
Kolejne naruszenie dotyczyło nieprzestrzegania reguły przejrzystości poprzez nienależyte wykonanie obowiązku informacyjnego. Instytutowi statystycznemu zarzucono m.in. niewyświetlenie informacji o ochronie prywatności na stronie INE lub innej stronie.
W ocenie portugalskiego organu nadzorczego w sytuacji przetwarzania danych osobowych na tak dużą skalę jak w przypadku spisu powszechnego obowiązkiem administratora było przeprowadzenie oceny skutków dla ochrony danych (DPIA). Tymczasem tak się nie stało.
Zastrzeżenia dotyczyły także powierzenia przetwarzania danych z amerykańską firmą Cloudfare. Z umowy tej wynikało bowiem, że spory między stronami będą rozstrzygać kalifornijskie sądy. W ocenie portugalskiego organu nadzorczego nie spełniono przez to wymogów powierzenia przetwarzania, o których mowa w art. 28 RODO.
Co więcej, organ stwierdził, że dane były przekazywane do państwa trzeciego w oparciu o standardowe klauzule umowne, ale bez żadnych środków uzupełniających. Poza tym amerykański procesor miał możliwość przekazywania danych innym podmiotom trzecim, które nie zapewniały równoważnego poziomu ochrony gwarantowanej w UE. Administrator nie miał też kontroli nad miejscem przetwarzania powierzonych danych. Z kolei procesor w pełni kontrolował narzędzia służące do szyfrowania (deszyfrowania) przekazywanych danych.
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl