Η ολλανδική αρχή προστασίας δεδομένων ανακοίνωσε την απόφασή της να επιβάλει πρόστιμο 3,7 εκατομμυρίων ευρώ στο Υπουργείο Οικονομικών για παραβίαση μίας σειράς διατάξεων του Γενικού Κανονισμού Προστασίας Δεδομένων (ΓΚΠΔ), έπειτα από έρευνα σχετικά με την επεξεργασία προσωπικών δεδομένων σε εφαρμογή ελέγχου για απάτες.
Ειδικότερα, η Αρχή διαπίστωσε ότι κατά την περίοδο από τις 4 Νοεμβρίου 2013 έως τις 27 Φεβρουαρίου 2020, η φορολογική και τελωνειακή διοίκηση καταχώρισε, τροποποίησε, συμβουλεύτηκε, χρησιμοποίησε, συνδύασε και διαμοιραζόταν εκτός της εν λόγω εφαρμογής (FSV) σήματα για ενδεχόμενες και διαπιστωμένες απάτες, καθώς και αιτήματα για πληροφορίες σχετικά με τουλάχιστον 30.000 επιχειρήσεις και 244.273 άτομα, συμπεριλαμβανομένων ανηλίκων.
Επιπλέον, η Αρχή σημείωσε ότι η φορολογική και τελωνειακή διοίκηση επεξεργάστηκε δεδομένα προσωπικού χαρακτήρα, συμπεριλαμβανομένων δεδομένων για την υγεία, την εθνικότητα και δεδομένα που αφορούν ποινικές καταδίκες και αδικήματα.
Στη συνέχεια, η Αρχή τόνισε ότι, κατά την προαναφερθείσα περίοδο, η Διοίκηση ενήργησε κατά παράβαση των αρχών της νομιμότητας, του περιοριμού του σκοπού, της ακρίβειας και του περιορισμού της αποθήκευσης, κατά την επεξεργασία δεδομένων στο FSV.
Μεταξύ άλλων, ανέφερε ότι δεν υπήρχε νομική βάση για την επεξεργασία δεδομένων προσωπικού χαρακτήρα στο FSV και ότι η φορολογική και τελωνειακή διοίκηση δεν μπορούσαν να επικαλεστούν εν προκειμένων την έννομη υποχρέωση ως βάση για αυτές τις πράξεις επεξεργασίας.
Επιπλέον, η Αρχή επεσήμανε ότι η επεξεργασία στο FSV δεν ήταν απαραίτητη για την εκπλήρωση του δημόσιου καθήκοντος της Φορολογικής και Τελωνειακής Διοίκησης να εποπτεύει τη συμμόρφωση με τις διατάξει περί φορολογίας και επιδομάτων, καθώς υπήρχε παραβλίαση της αρχής της αναλογικότητας, αφού τα συμφέροντα των υποκειμένων των δεδομένων ήταν δυσανάλογα σε σχέση με τον σκοπό που εξυπηρετούσε η επεξεργασία, ενώ οι σκοποί δεν ήταν επακριβώς καθορισμένοι και σαφείς.
Η Αρχή υπογράμμισε επίσης ότι υπήρχαν λανθασμένα και μη ενημερωμένα προσωπικά δεδομένα στο FSV και ότι η διοίκηση δεν έλαβε εύλογα μέτρα για τη διόρθωση ή τη διαγραφή τους.
Ομοίως, σε αντίθεση με την αρχή του περιορισμού της αποθήκευσης, τα προσωπικά δεδομένα στο FSV διατηρήθηκαν περισσότερο από την περίοδο διατήρησης που ισχύει για τη φορολογική και τελωνειακή διοίκηση.
Τέλος, η Αρχή σημείωσε ότι η φορολογική και τελωνειακή διοίκηση δεν είχε λάβει επαρκή τεχνικά και οργανωτικά μέτρα όσον αφορά την ασφάλεια πρόσβασης και τον έλεγχο της εφαρμογής, για να διασφαλίσει κατάλληλο επίπεδο ασφάλειας για τα προσωπικά δεδομένα.
Στο πλαίσιο αυτό, η Αρχή έκρινε σκόπιμο, λόγω της σοβαρότητας της παράβασης, να επιβάλει πρόστιμο 3,7 εκατ. ευρώ στο αρμόδιο Υπουργείο Οικονομικών.
Η απόφαση είναι διαθέσιμη στα Ολλανδικά.