Amendă în valoare de 4,3 milioane de euro aplicată de către Autoritatea Portugheză pentru Protecția Datelor Institutului Național de Statistică pentru prelucrarea ilegală a datelor cu caracter personal
Centrul Național pentru Protecția Datelor cu Caracter Personal (CNPDCP), cu titlu informativ și aplicativ, comunică despre amenda în valoare de 4,3 milioane de euro aplicată de către Autoritatea Portugheză pentru Protecția Datelor (CNPD) companiei Portuguese National Statistics Institute (INE) pentru încălcarea art. 9 alin. (1); art. 12; art. 13; art. 28 alin. (1), (6) și (7); art. 35 alin. (1), (2) și (3) lit. b); art. 44; art. 46 și art. 83 din GDPR.
În anul 2021, CNPD a primit mai multe plângeri cu privire la recensământul național, care era încă în curs de desfășurare la acel moment. Pentru efectuarea recensământului, INE a utilizat serviciile CDN (rețea de livrare de conținut) ale unei companii americane, Cloudflare, Inc., cu peste 200 de centre de date răspândite în peste 100 de țări. Având în vedere plângerile primite, CNPD a inițiat o anchetă. În acel moment, aproximativ 2,5 milioane de formulare, care conțineau datele cu caracter personal a peste șase milioane de cetățeni cu reședința în Portugalia, fuseseră deja transmise către INE. Având în vedere constatările sale preliminare, CNPD a emis, în temeiul articolului 58 alineatul (2) litera (j) din GDPR, un ordin prin care INE era obligat să suspende, în termen de 12 ore, toate fluxurile de date către SUA și către orice alte țări terțe care nu ofereau un nivel adecvat de protecție, fie prin intermediul Cloudflare, Inc., fie prin intermediul oricărei alte companii. După această măsură corectivă cu caracter preventiv, ancheta a continuat cu alte aspecte ale obiectului plângerilor.
În urma anchetei ulterioare, CNPD a identificat cinci încălcări ale GDPR-ului în contextul prelucrării datelor recensământului din 2021, cu privire la următoarele aspecte:
· Lipsa legalității pentru prelucrarea categoriilor speciale de date cu caracter personal (art. 9 alin. (1) din GDPR);
· Nerespectarea obligațiilor de transparență (art. 12 și 13 din GDPR), în special în ceea ce privește furnizarea oricăror informații referitoare la operațiunile de prelucrare, de exemplu prin afișarea unei notificări privind confidențialitatea pe site-ul INE;
· Lipsa Evaluării Impactului asupra Protecției Datelor (art. 35 alin. (1), (2) și (3) lit. b) din GDPR);
· Lipsa diligenței necesare cu privire la alegerea persoanei împuternicite de către operator (art. 28 alin. (1), (6) și (7) din GDPR), și anume, prin acceptarea unui contract standard, care nu a fost evaluat în conformitate cu art. 28 alin. (3) din GDPR;
· Nerespectarea cerințelor legale pentru transferurile internaționale de date (art. 44 și art. 46 alin. (2) din GDPR), cum au fost interpretate de CJUE în Hotărârea Schrems II.
În acest context, urmare a faptelor constatate, CNPD a stabilit că operatorul de date a încălcat diferite prevederi din GDPR referitor la prelucrarea datelor recensământului 2021 și, prin urmare, a decis, în temeiul articolului 58 alineatul (2) litera (i) și al articolului 83 din GDPR, precum și a unor dispoziții naționale, să aplice operatorului de date o amendă în valoare de 4,3 milioane de euro. Această decizie este una finală, dar care poate fi contestată în instanțele de judecată naționale.
CNPDCP, în calitate de autoritate națională de supraveghere a prelucrării datelor cu caracter personal, accentuează asupra responsabilității operatorilor de date cu caracter personal de a respecta prevederile cadrului legislativ în materie de protecție a datelor cu caracter personal și de a se asigura că operațiunile de prelucrare a datelor cu caracter personal sunt conforme legislației în vigoare.