De Portugese stad Lissabon heeft van de Portugese privacytoezichthouder CNPD een boete van 1,25 miljoen euro gekregen voor het overtreden van de privacywetgeving RGPD. Het gemeentebestuur verwerkte persoonsgegevens van personen die demonstraties organiseerden en deelde de data met derde partijen, waaronder ambassades en de ministers van Buitenlandse Zaken van andere landen.
Aangezien het hier gaat om gegevens over politieke opvattingen, wat volgens de de privacywetgeving bijzondere persoonsgegevens zijn, had het gemeentebestuur zorgvuldiger met het verwerken van de gegevens moeten omgaan, wat niet is gebeurd. Zo vond het gemeentebestuur dat het hier niet om gevoelige data ging en was er van tevoren ook geen DPIA (data protection impact assessment) uitgevoerd om de privacyrisico's in kaart te brengen.
Volgens de CNPD maken demonstranten zich wereldwijd zorgen over het blootgeven van hun identiteit, aangezien er steeds meer middelen zijn om persoonlijke informatie in openbare plekken vast te leggen. Het gemeentebestuur had dan ook rekening moeten houden met wat voor risico deze middelen voor de vrijheid van meningsuiting vormen.
Daarnaast stelde de privacytoezichthouder dat personen die aan demonstraties deelnemen niet automatisch toestemming geven voor het verwerken van hun persoonsgegevens en dat er geen misbruik van het publieke karakter van demonstraties mag worden gemaakt om de ideeën, opvattingen en geloofsovertuigingen van personen vast te leggen.
Door dit toch te doen heeft Lissabon onder andere artikel 13 van de GDPR overtreden, waarin staat dat de gegevensverwerker bij de verwerking van persoonsgegevens de persoon van wie de data wordt verwerkt hierover informeert. Vanwege de financiële moeilijkheden door de coronapandemie besloot de CNPD een boete van 1,25 miljoen euro op te leggen. Anders was het boetebedrag veel hoger uitgekomen (pdf).
Deze posting is gelocked. Reageren is niet meer mogelijk.