Portugal: Lissabon kommun bötfälls med 1,25 miljoner euro för behandling av personuppgifter om demonstranter

Den portugisiska dataskyddsmyndigheten Comissão Nacional de Proteção de Dados (CNPD) har bötfällt Lissabon kommun med 1,25 miljoner euro för överträdelse av bland annat artiklarna 5.1 (a), (c) och (e), 6, 9.1 (a), 13.1-2 och 35.3 i dataskyddsförordningen (GDPR).

Av beslutet framgår bland annat att Lissabon kommun skickat 111 meddelanden om demonstrationer till olika avdelningar och kontor inom kommunen samt till tredje parter för att säkerställa att de kunde utföra sina offentliga uppgifter på ett korrekt sätt. Meddelandena innehöll bland annat känsliga uppgifter om demonstranterna och organisatörerna av demonstrationerna. Uppgifterna avslöjade bland annat de registrerades politiska åsikter, religiösa eller filosofiska övertygelser eller sexuella läggning.

CNPD konstaterade att överföringen av uppgifterna inte var nödvändig för att enheterna skulle kunna utföra sina offentliga uppgifter på ett korrekt sätt. Behandlingen skedde således utan tillräcklig rättslig grund. Dessutom konstaterade CNPD att kommunen utfört behandlingen utan att informera de registrerade, utan att fastställa en policy för lagring av deras personuppgifter och utan att göra en konsekvensbedömning av dataskydd.

CNPD noterade att sanktionsavgiften på 1,25 miljoner euro är den totala summan av 225 sanktionsavgifter som Lissabon kommun fått för olika överträdelser av GDPR sedan 2018, nämligen:

  • 111 överträdelser av artiklarna 5.1 (a), 6 och 9.1 (a)  GDPR
  • 111 överträdelser av artikel 5.1 (c) GDPR
  • en överträdelse av artikel 13.1 och 13.2 GDPR
  • en överträdelse av artikel 35.3 GDPR
  • en överträdelse av artikel 5.1 (e) GDPR.

När det de olika sanktionsavgifterna noterade CNPD dessutom att överträdelsernas varaktighet och antalet berörda registrerade fungerat som faktorer som försvårar beloppen eftersom de avslöjar en ihållande brist på engagemang för de rättsliga skyldigheter som Lissabon kommun ska uppfylla enligt GDPR.

Enligt CNPD blir sanktionsavgifterna på 1,25 miljoner euro slutgiltiga och verkställbara om de inte överklagas rättsligt av kommunen, och att de måste betalas inom högst tio dagar efter det att de har fastställts.

Du kan läsa pressmeddelandet här och ladda ner beslutet här, båda endast tillgängliga på portugisiska.

Relaterade nyheter

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Gå kurs med oss

06 OKT

Säkerhet för
icke-tekniker

Få en övergripande introduktion till säkerhet vid behandling av personuppgifter.

13 OKT

Privacy by Design
& Privacy by Default

Öka dina kunskaper om GDPR:s krav på inbyggt dataskydd och dataskydd som standard.

10 NOV

Artificiell intelligens & personuppgifter

Få en genomgång av de viktigaste reglerna för AI ur ett dataskyddsperspektiv.