Με ανακοίνωσή της στις 12 Δεκεμβρίου, η εποπτική αρχή της Πορτογαλίας CNPD (Comissão Nacional de Proteção de Dados) γνωστοποίησε την επιβολή διοικητικού προστίμου ύψους 4.300.000 ευρώ σε βάρος της εθνικής στατιστική αρχής της χώρας ΙΝΕ (Instituto Nacional de Estadística) για πέντε παραβάσεις της νομοθεσίας για την προστασία των προσωπικών δεδομένων, κατά τη διενέργεια της απογραφής του 2021.
Σύμφωνα με την ανακοίνωση, με την απόφαση 1072/2022, η CNPD έκρινε πως το INE επεξεργάστηκε κατά τρόπο μη νόμιμο προσωπικά δεδομένα σχετικά με τη υγεία και το θρήσκευμα, δεν εκπλήρωσε τις απαιτήσεις ενημέρωσης των απογραφομένων, παραβίασε τις απαιτήσεις ως προς τη συνεργασία με υπεργολάβο και τη διαβίβαση των δεδομένων σε τρίτη χώρα, ενώ δεν τήρησε την υποχρέωση διενέργειας εκτίμησης αντικτύπου εν όψει της απογραφής.
▪ Ως προς την επεξεργασία των δεδομένων σχετικά με την υγεία και το θρήσκευμα, η πορτογαλική αρχή κατέληξε ότι η ελλιπής πληροφόρηση που δόθηκε στα υποκείμενα ως προς τον προαιρετικό χαρακτήρα της συμπλήρωσης των συγκεκριμένων πεδίων του ερωτηματολογίου έδινε την εντύπωση πως αυτή ήταν υποχρεωτική. Η εντύπωση αυτή επηρέασε σαφώς τη διαμόρφωση της ελεύθερης βούλησής των υποκειμένων ως προς την παροχή των εν λόγω πληροφοριών, προϋπόθεση η οποία ήταν αναγκαία για τη νομιμότητα της συλλογής και επεξεργασίας των δεδομένων αυτών.
▪ Ως προς τη συμφωνία που συνήφθη, στο πλαίσιο του άρθρου 28 παρ.3 ΓΚΠΔ, με εκτελούντα την επεξεργασία, η πορτογαλική αρχή έκρινε πως η εκπλήρωση των απαιτήσεων της διάταξης δεν αποτελεί μια τυπική διαδικασία, η οποία μπορεί να διεκπεραιώνεται απλώς με τη χρήση τυποποιημένων ρητρών, αλλά πρέπει να έχει ουσιαστικό χαρακτήρα. Στην περίπτωση αυτή, το INE ανάθεσε τη διενέργεια πράξεων επεξεργασίας στην αμερικανική Cloudflare Inc., παρά το γεγονός πως η εταιρεία δραστηριοποιείται και στην Πορτογαλία, ενώ μάλιστα ως αρμόδια δικαστήρια για την επίλυση τυχόν διαφορών ορίστηκαν αυτά της Καλιφόρνια.
▪ Με το ίδιο συμφωνητικό προβλέφθηκε η δυνατότητα της διαβίβασης των δεδομένων του υπευθύνου επεξεργασίας σε οποιονδήποτε από τους 200 servers του εκτελούντος την επεξεργασία, παρά το γεγονός ότι αυτό θα σήμαινε διαβίβαση εκτός Ευρωπαϊκής Ένωσης. Επ’ αυτού, το συμφωνητικό περιελάμβανε τυποποιημένες ρήτρες, εγκεκριμένες από την Ευρωπαϊκή Επιτροπή, για τη διαβίβαση των δεδομένων στις ΗΠΑ, χωρίς τη λήψη πρόσθετων μέτρων σύμφωνα με την απόφαση Schrems II του ΔΕΕ. Επί του ζητήματος αυτού είχε εκδοθεί ήδη η 533/2021 απόφαση της CNPD, με την οποία είχε απαγορευτεί η διαβίβαση προσωπικών δεδομένων σχετικών με την απογραφή στις ΗΠΑ ή σε τρίτες χώρες χωρίς επαρκές επίπεδο προστασίας.
Με βάση τα ανωτέρω, η πορτογαλική εποπτική αρχή επέβαλε στο INE ενιαίο διοικητικό πρόστιμο ύψους 4,3 εκατομμυρίων ευρώ, για την παραβίαση των άρθρων 9 παρ.1 και 12-13, σχετικά με την ενημέρωση και τη συλλογή δεδομένων ειδικών κατηγοριών, 28 παρ.1-6-7, σχετικά με την ανάθεση σε εκτελούντα την επεξεργασία, 44 και 46 παρ.2, σχετικά με τις διαβιβάσεις δεδομένων, και 35 παρ.1-2-3β, σχετικά με την υποχρέωση διενέργειας εκτίμησης αντικτύπου.
Επισημαίνεται ότι πρόκειται για το μεγαλύτερο διοικητικό πρόστιμο που έχει επιβληθεί στην Πορτογαλία για την παραβίαση διατάξεων του ΓΚΠΔ, θέση την οποία μέχρι πρότινος είχε το πρόστιμο που είχε επιβληθεί πριν από έναν περίπου χρόνο στον Δήμο της Λισαβώνας.
Πηγή: lawspot.gr