Enligt CNPD:s beslut rör det sig om INE:s överträdelser när det gäller behandlingen av särskilda kategorier av personuppgifter, skyldigheterna att informera de registrerade och reglerna för att anlita ett företag för att hantera de uppgifter som samlas in i folkräkningarna.

Överträdelser ansågs också föreligga när det gäller institutets agerande i fråga om överföring av uppgifter till tredjeländer och underlåtenheten att genomföra en konsekvensbedömning av personuppgifter.

Kommissionen förstår att INE:s agerande återspeglar utövandet av fem överträdelser som "föreskrivs och bestraffas" i RGPD, och betonar att överträdelserna "antar en betydande grad av allvar, med tanke på det antal registrerade personer som berörs (...), det sammanhang i vilket de utövades, särskilt det obligatoriska svaret på folkräkningen 2021 och övertygelsen om att de var obligatoriska".

CNPD:s beslut pekar på den enhet som ansvarar för genomförandet av folkräkningarna som en "försumlig handling", genom att bryta mot skyldigheten till öppenhet och omsorg på grund av bristen på information till de registrerade om verksamheten i fråga (genomförandet av folkräkningarna).

CNPD anser också att INE handlade med illvilja genom att inte kontrollera med det företag som skulle samla in och hantera personuppgifterna om det inte skulle vidarebefordra uppgifterna till tredje land.

Därför drog kommissionen slutsatsen att två administrativa överträdelser berodde på vårdslöshet och tre andra begicks uppsåtligen.

"Möjligt bedrägeri"

"INE kände till, och kunde inte undgå att känna till, den bindande karaktären av sina skyldigheter och var övertygad om möjligheten att genomföra de fakta som det anklagas för, för vilka de tillskrivs svaranden som möjligt bedrägeri", står det i organets överläggning av den 02 november 2022.

Enligt kommissionen visade INE "en brist på respekt för de principer och skyldigheter som föreskrivs i GPDR, genom att förlita sig på ett ingripande från tillsynsmyndigheten [CNPD], i stället för att ta initiativ till att se till att folkräkningsverksamheten var förenlig med denna ordning".

De fem överträdelserna gav upphov till fem böter på 6,5 miljoner euro.

Efter att ha konstaterat att det fanns en "hög grad av censur av svarandens beteende" och att det behövdes en "påföljd som återspeglar den höga graden av censur av detta beteende", slutade organet med att avslöja att INE inte hade någon registrering av överträdelser och ålade ett enda bötesbelopp på 4,3 miljoner euro.

Genomförandet av folkräkningarna 2021 var omgärdat av kontroverser efter avtalet med företaget Cloudflare, som ansvarade för säkerheten på den webbplats som samlade in svaren på folkräkningarna, och som föreskrev överföring av personuppgifter till Förenta staterna och andra länder.

Den nationella dataskyddskommissionen krävde då att alla överföringar av personuppgifter skulle avbrytas, och INE avbröt kontraktet med företaget.