Data Protection Commission (DPC) har utfärdat en sanktionsavgift på 50 000 euro mot Kildare County Council för överträdelser av dataskyddsförordningen (GDPR)
Av beslutet framgår att DPC i juni 2018 beslutat att genomföra en rad granskningar gällande övervakningsteknik som användes av statliga myndigheter, däribland Kildare County Council. Syftet med dessa granskningarna var att fastställa om behandlingen av uppgifter var laglig och att se till att fullständiga åtgärder för ansvarsskyldighet för insamling och behandling av personuppgifter fanns på plats, inför ytterligare investeringar i och användning av nyare övervakningsteknik.
Utredningen av Kildare County Council fokuserade på följande: den rättsliga grunden för övervakningsteknik som används för att förebygga, utreda, upptäcka eller beivra brott; den rättsliga grunden för övervakningsteknik som används för andra ändamål än att förebygga, utreda, upptäcka eller beivra brott; lämplig skyltning och allmän öppenhet; samt frågan om ett avtal om gemensam personuppgiftsansvar mellan Kildare County Council och den nationella polisen. Dessutom ville DPC granska säkerhetsåtgärderna för övervakningskameror för trafikledning, övervakningskameror för bostadsavdelningen och överföringen av övervakningskameror till den nationella polisen.
Sammanfattningsvis konstaterade DPC att Kildare County Council:
- Behandlat personuppgifter utan rättslig grund
- Inte uppfyllt sina informationsskyldigheter om användningen av bevakningskameror
- Var självständigt personuppgiftsansvarig för behandlingen av personuppgifter
- Inte vidtagit lämpliga säkerhetsåtgärder vid behandlingen av personuppgifter
Enligt DPC utgjorde detta överträdelser av artiklarna 2, 5, 6, 13, 26 och 32.1 GDPR. Genom att utöva sina korrigerande befogenheter införde DPC ett tillfälligt förbud mot behandling av personuppgifter med kamerabevakning för brottsbekämpning och trafikstyrning, tills en rättslig grund kan identifieras. Dessutom utfärdades en sanktionsavgift på 50 000 euro mot Kildare County Council.