Kratak odgovor: Može!
Podulji odgovor slijedi:
Nizozemsko nadzorno tijelo za zaštitu podataka izreklo je novčanu kaznu u iznosu od 3,7 milijuna eura Ministarstvu financija zbog kršenja GDPR-a.
U razdoblju od studenog 2013. do veljače 2020. porezna i carinska uprava vodila je registar osoba za koje su postojale sumnje na prijevaru i na utvrđene prijevare, koji je uključivao 244.273 osobe i 30.000 poduzetnika, uključujući maloljetnike.
Nadalje, porezna i carinska uprava je prikupljala i obrađivala podatke o zdravlju, nacionalnosti i podatke iz kaznenih evidencija.
Nekako nam ovo "vuče" na poznat model postupanja u brojnim tijelima javne vlasti pod geslom "radimo kako smo radili i prije GDPR-a".
Porezna i carinska uprava postupala je u suprotnosti s temeljnim načelima zakonitosti, ograničenja svrhe obrade, točnosti podataka i ograničenja pohrane. Zaista teška povreda GDPR-a.
Nadzorno tijelo je utvrdilo da za ovakve obrade osobnih podataka NIJE postojala osnova za obradu osobnih podataka ni u GDPR-u ni u nacionalnom zakonu koji je bio na snazi prije GDPR-a.
Porezna i carinska uprava se pokušala pozvati na „pravnu obvezu” kao osnovu za te postupke obrade iako uopće nije postojala obveza obrade osobnih podataka povezanih s (mogućim) prijevarama. Takvog propisa tamo nije bilo.
Takva obrada osobnih podataka nije bila potrebna za izvršavanje javne zadaće porezne i carinske uprave da nadzire usklađenost s odredbama zakonskog okvira o porezu i pristojbama, a načelo proporcionalnosti nije bilo ispunjeno jer je povreda interesa ispitanika bila nerazmjerna u odnosu na svrhu same obrade.
Štoviše, svrha takvog postupanja porezne i carinske uprave nije bila dobro definirana i stoga nejasna.
U tom je kontekstu je nadzorno tijelo presudilo da načelo supsidijarnosti također nije ispunjeno jer se cilj koji se želi postići može ostvariti na drugačiji, manje invazivan način.
Da bi stvar bila gora, porezna i carinska uprava se nije potrudila voditi registar ažurnim i točnim, odnosno, ispravljati netočne informacije, a sve podatke su zadržavali bez jasnih rokova brisanja.
U konačnici, pristup tom registru i sigurnost sustava bili su na vrlo niskoj i nedovoljnoj razini, a Službenika za zaštitu podataka su sa zakašnjenjem i neprimjereno uključili u provođenje Procjene učinka na zaštitu podataka, odnosno, analizu rizika i definiranje mjera za njihovo umanjenje.
Kazna je zaslužena, jel da?
https://gdprhub.eu/index.php?title=AP_(The_Netherlands)_-_Dutch_Tax_and_Customs_Administration_fined_%E2%82%AC3,700,000_for_six_GDPR_violations&mtc=today
Image by wal_172619 from Pixabay