Comissão Nacional de Proteção de Dados (CNPD) har bötfällt Setubal kommun med 170 000 euro för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att beslutet avser Setubal kommuns agerande vid insamling av personuppgifter om ukrainska flyktingar. Insamlingen skedde i samband med att kommunen bett flyktingar att fylla i formulär som innehöll omfattande personuppgifter om dem, bland annat namn, adress, födelsedatum, civilstånd och information om identitetshandlingar.
CNPD konstaterade att Setubal kommun inte gjort någon konsekvensbedömning avseende dataskydd, trots att flyktingar anses vara utsatta personer enligt Europeiska datatillsynsmannens (European Data Protection Supervisor, EDPS) riktlinjer för konsekvensbedömning avseende dataskydd. CNPD konstaterade också att inga lagringstider fastställts för den information som kommunen samlat in och att tillräckliga tekniska och organisatoriska åtgärder inte heller vidtagits, vilket innebär en överträdelse av artikel 5.1 (e) GDPR respektive artikel 5.1 (f) GDPR.
Vidare konstaterade CNPD att Setubal kommun inte lämnat information till de registrerade vid tidpunkten för insamlingen av personuppgifter om bland annat den personuppgiftsansvarige, ändamålen med behandlingen, mottagarna eller kategorierna av mottagare av personuppgifter, de registrerades rättigheter och rätten att lämna in ett klagomål till en tillsynsmyndighet, vilket innebär en överträdelse av artiklarna 13.1 och 13.2 GDPR. Slutligen påpekade CNPD att kommunen inte utsett något dataskyddsombud, vilket innebär en överträdelse av artiklarna 37.1 och 37.7 GDPR.
Mot denna bakgrund beslutade CNPD att Setubal kommun skulle bötfällas med 170 000 euro.