Portugal: Lissabon kommun bötfälls med 1,25 miljoner euro för behandling av personuppgifter om demonstranter

Comissão Nacional de Proteção de Dados (CNPD) har bötfällt Lissabon kommun med 1,25 miljoner euro för överträdelse av bland annat artiklarna 5.1 (a), (c) och (e), 6, 9.1 (a), 13.1-2 och 35.3 i dataskyddsförordningen (GDPR).

Av beslutet framgår bland annat att Lissabon kommun skickat 111 meddelanden om demonstrationer till olika avdelningar och kontor inom kommunen samt till tredje parter för att säkerställa att de kunde utföra sina offentliga uppgifter på ett korrekt sätt. Meddelandena innehöll bland annat känsliga uppgifter om demonstranterna och organisatörerna av demonstrationerna. Uppgifterna avslöjade bland annat de registrerades politiska åsikter, religiösa eller filosofiska övertygelser eller sexuella läggning.

CNPD konstaterade att överföringen av uppgifterna inte var nödvändig för att enheterna skulle kunna utföra sina offentliga uppgifter på ett korrekt sätt. Behandlingen skedde således utan tillräcklig rättslig grund. Dessutom konstaterade CNPD att kommunen utfört behandlingen utan att informera de registrerade, utan att fastställa en policy för lagring av deras personuppgifter och utan att göra en konsekvensbedömning av dataskydd.

CNPD noterade att sanktionsavgiften på 1,25 miljoner euro är den totala summan av 225 sanktionsavgifter som Lissabon kommun fått för olika överträdelser av GDPR sedan 2018, nämligen:

  • 111 överträdelser av artiklarna 5.1 (a), 6 och 9.1 (a)  GDPR
  • 111 överträdelser av artikel 5.1 (c) GDPR
  • en överträdelse av artikel 13.1 och 13.2 GDPR
  • en överträdelse av artikel 35.3 GDPR
  • en överträdelse av artikel 5.1 (e) GDPR.

När det de olika sanktionsavgifterna noterade CNPD dessutom att överträdelsernas varaktighet och antalet berörda registrerade fungerat som faktorer som försvårar beloppen eftersom de avslöjar en ihållande brist på engagemang för de rättsliga skyldigheter som Lissabon kommun ska uppfylla enligt GDPR.

Enligt CNPD blir sanktionsavgifterna på 1,25 miljoner euro slutgiltiga och verkställbara om de inte överklagas rättsligt av kommunen, och att de måste betalas inom högst tio dagar efter det att de har fastställts.

Mer information

Myndighet: Comissão Nacional de Proteção de Dados (CNPD)

Land: Portugal

Lagrum: Art. 5 GDPR, art. 6 GDPR, art. 9 GDPR, art. 13 GDPR, art. 35 GDPR

Sanktionsavgift: 1 250 000 euro

Mottagare: Lissabon kommun

Beslutsnummer: AVG/2021/300

Beslutsdatum: 2021-12-21

Källa: Beslut

Relaterade nyheter

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Gå kurs med oss

14 MAR

NIS 2-direktivet – Cybersäkerhet i praktiken

En genomgång av de viktigaste reglerna i NIS2-direktivet och kompletterande svensk lagstiftning.

21 MAR

Introduktion till AI-förordningen

En genomgång av de viktigaste reglerna i den nya AI-förordningen och hur du kan använda AI-system på ett lagenligt sätt.

11 APR

Introduktion till Cyber Resilience Act

En genomgång av Cyber Resilience Act och hur du kan tillverka, distribuera och sälja produkter med digitala element på ett lagenligt sätt.