W szczególności CNIL podkreśliła, że sprawa dotyczy wykorzystania systemu informacji o statkach i załogach (SIRENE) stosowanego przez lokalną jednostkę straży przybrzeżnej, Channel-North Sea-Atlantic, do rejestracji osób na morzu. Następnie CNIL zauważyła, że zgromadzone dane osobowe są przechowywane w kartotece SIRENE.

CNIL wyjaśniła w szczególności, że jednostka straży przybrzeżnej podlega Generalnej Dyrekcji Ceł i Podatków Pośrednich, podlegającej ministerstwu. W związku z tym CNIL stwierdziła, że ministerstwo należy uznać za odpowiedzialne za przetwarzanie danych osobowych w odniesieniu do pliku SIRENE.

Po przeprowadzeniu dochodzenia CNIL stwierdziła, że kartoteka SIRENE zawiera dane osobowe, w tym między innymi imiona i nazwiska, stan cywilny, adresy, zawody, funkcje pełnione na pokładzie statków, informacje o własności/wynajmie statków oraz ich geolokalizację. W szczególności CNIL ustaliła, że plik SIRENE zawiera dane osobowe 45 793 osób, w tym 392 nieletnich, wraz z dokumentami tożsamości, w których wymieniono przestępstwa. Ponadto CNIL wyszczególniła, że inne wrażliwe dokumenty, w tym 9 646 paszportów i 3 051 krajowych dowodów tożsamości, również zostały włączone do pliku SIRENE. CNIL stwierdziła, że tworzenie i wykorzystywanie pliku SIRENE zawierającego takie dane osobowe nie jest przewidziane w żadnym akcie prawnym ani regulacyjnym, a zatem narusza art. 87 ustawy. Podobnie CNIL wyszczególniła, że nie otrzymała żadnego wniosku o wydanie opinii dotyczącej wdrożenia pliku SIRENE, a tym samym uznała, że ministerstwo narusza art. 89 ustawy.

Ponadto CNIL stwierdził, że przedmiotowe przetwarzanie na dużą skalę może stworzyć wysokie ryzyko dla praw i wolności osób fizycznych oraz że ministerstwo nie przeprowadziło oceny skutków w odniesieniu do przetwarzania takich danych, naruszając tym samym art. 90 ustawy.

Ponadto CNIL stwierdziła, że brak rozróżnienia kategorii osób w zbiorze SIRENE stanowi naruszenie art. 98 ustawy.

Wreszcie CNIL stwierdziła, że brak poinformowania osób, których dane dotyczą, o przetwarzaniu ich danych osobowych, w tym o tożsamości i danych kontaktowych administratora danych i inspektora ochrony danych ("DPO"), celach przetwarzania oraz prawach osób, których dane dotyczą, narusza art. 104 ustawy.

W rezultacie CNIL uznał, że Ministerstwo musi, w ciągu sześciu miesięcy od powiadomienia o decyzji i z zastrzeżeniem wszelkich podjętych już środków regulacyjnych:

-uchwalić akt ustawodawczy (po konsultacji z CNIL) regulujący SIRENE lub, w przypadku jego braku, zaprzestać przetwarzania przedmiotowych danych;

-z zastrzeżeniem legalności zbioru SIRENE, rozróżnić dane różnych kategorii osób w nim zarejestrowanych

-z zastrzeżeniem legalności zbioru SIRENE - poinformować osoby w nim zarejestrowane; oraz

uzasadnić przed CNIL, że wszystkie wyżej wymienione żądania zostały spełnione, w wyznaczonym terminie.

Więcej: https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000047464169?init=true&page=1&query=Med-2023-018&searchField=ALL&tab_selection=all

Jeżeli chcesz być informowany na bieżąco o naszych publikacjach dołącz do nas i polub nas na Facebooku https://www.facebook.com/odoserwis.pl.2016/

-----------------------------------------------------

Wydawcą odoserwis.pl jest firma JDS Consulting świadcząca usługi outsourcingu Inspektora ochrony danych, doradztwa i audytu RODO; www.jds.com.pl