Portugál népszámlálás: az adatvédelmi hatóság felfüggesztette az adatkezelést

május 24, 2021
Cikkek, GDPR hírek

A Portugál Adatvédelmi Hatóság (CNPD) 2021. április 27-én tette közzé döntését, melyben haladéktalanul felfüggeszti a 2021-es népszámlálással kapcsolatos adatok Egyesült Államokba történő továbbítását.

A népszámlálást a portugál Statisztikai Hivatal rendelte el, melyen minden állampolgár köteles részt venni. Az elmúlt évek járvány miatt kialakult gyakorlata miatt a népszámlálást az állampolgárok online tölthetik ki, a CENSOS 2021 weboldalon keresztül. Ez az oldal számos külső szolgáltató közreműködésével működik, ezeknek az egyike a Cloudflare, melynek székhelye az Egyesült Államokban található.

A Hatóság vizsgálata során megállapította, hogy a Cloudflare használatával nem garantálható, hogy a kezelt adatok ugyanazt a védelmet élveznék, mint ha kizárólag európai szolgáltatók vennének részt az adatkezelésben. Ezt többek között azzal indokolták, hogy a Cloudflare hálózata több, mint 100 országra terjed ki. Az adatok alapértelmezetten a felhasználóhoz legközelebb eső adatközponton mennek keresztül, azonban előfordulhat, hogy egyes esetekben az adatkezelés más útvonalon történik; olyan országok hálózatain keresztül, amelyek harmadik országnak minősülnek és nem garantált a GDPR által elvárt védelem.

Azt is megállapították a vizsgálat során, hogy a népszámlálás weboldala a Cloudflare saját tanúsítványait használta a továbbított adatok titkosítására, nem pedig a hivatal saját kulcsait. A vizsgálat befejezéséig a portugál lakosság mintegy fele, kb. 6 millió ember töltötte ki a kérdőívet, melyben többek között olyan érzékeny személyes adatokat kellett megadniuk, melyek egészségi állapotukra vagy vallási hovatartozásukra utal.

A CNPD álláspontja szerint a statisztikai hivatalnak, mint adatkezelőnek kötelessége lett volna előzetes hatásvizsgálatot végeznie, ezt azonban elmulasztotta. Emiatt nem volt lehetősége felmérni az adatkezelésből fakadó kockázatokat, illetve, hogy ez milyen módon és mértékben érinti a lakosság jogait és szabadságait. Az adatkezelő továbbá nem kereste fel ezzel kapcsolatosan a hatóságot, mindössze a Nemzeti Biztonsági Kabinettel folytatott egyeztetést a népszámlálás kiberbiztonságáról.

A Hatóság megjegyezte, hogy a kezelt adatok jellegére való tekintettel az adatkezelőnek további biztonsági kitételeket kellett volna alkalmaznia. Ennek egyik módja az lehetett volna, hogy az adatok kezelését csak EU tagországokban működő szolgáltatók bevonásával lehessen végezni, azonban a Cloudflare-el kötött szerződés értelmében az adatok tárolása történhet bárhol, ahol a cég szerverekkel rendelkezik (így pl. Dél-Afrikában, Kínában, Oroszországban is.).

A harmadik országba történő adattovábbítást az általános szerződési feltételekre (SCC) alapozták. Erről, sok más hatósághoz hasonlóan a CNPD is úgy vélekedik, hogy azok önmagukban nem garantálják a megfelelő szintű védelmet az adatoknak. Erre korábban már a CJEU Schrems II döntése is kitért, az elvárás egyben összefügg a GDPR 5. cikk (2) bekezdésében szereplő elszámoltathatóság elvének rendelkezéseivel.

A Hatóság döntésének értelmében a Cloudflare népszámlálással kapcsolatos adatkezelését haladéktalanul fel kell függeszteni, amíg a Statisztikai Hivatal megfelelő garanciákat kap arra, hogy a portugál állampolgárok adatainak kezelése a GDPR elvárásainak megfelelően történik.

A Berlini Adatvédelmi Hatóság és a Microsoft vitája

Jelentősen csökkenhet a British Airways és a Marriott rekord bírsága

Az izlandi hatóság megbírságolta a Breiðholt középiskolát