Francuski organ ochrony danych osobowych wydał wobec ministerstwa nakazy, które mają doprowadzić do zgodności ww. bazy z zasadami ochrony danych. W czasie prowadzenia postępowania wykryto szereg nieprawidłowości m.in. niewłaściwe zarządzanie bazą, brak przekazywania informacji osób, których dane dotyczą, a nawet nielegalne przechowywanie danych.
Baza zawiera odciski palców oraz dłoni od 1987 r. osób, które w jakiś sposób uczestniczyły w prowadzonych śledztwach. W 2018 r. w bazie były przechowywane dane około 6,2 milionów osób. Jak wynika z decyzji opublikowanej niedawno przez CNIL w bazie znajdują się dane, które są szersze niż zakres ustalony w ustawie regulującej działanie bazy. Obok odcisków dłoni i palców można znaleźć takie dane jak: nazwisko ofiary, numer referencyjny podejrzanych czy dane osób, które były uważane za podejrzane.
W przepisach tworzących ww. bazę nie tylko określono zakres danych jakie powinny się w niej znajdować, ale również wskazano okres przez jaki dane powinny być przechowywane. Okresy zależały od charakteru wykroczenia oraz jego wagi i mogły wynosić 10, 15 lub 25 lat. Jak również wskazano, że w przypadku oddalenia sprawy lub prawomocnego uniewinnienia dane również powinny zostać usunięte. Jak ustalił CNIL w 2019 r. w bazie znajdowało się ponad 2 miliony rekordów, które powinny zostać usunięte, bowiem ich okres retencji minął.
Ponadto, organ zakwestionował przechowywanie danych w formie papierowej jako, że baza od początku miała być prowadzona w formie elektronicznej. W formie papierowej przechowywanych jest kilka milionów arkuszy. Dlatego też CNIL uznał za właściwe usunięcie tych wszystkich arkuszy. Niektóre z danych znajdujących się na arkuszach papierowych dalej mogłyby być przechowywane w bazie gdyby miały formę elektroniczną jako, że ich okres retencji nie minął.
Ponieważ postępowanie jest prowadzone od 2019 r. i dopiero teraz udało się wydać decyzję w sprawie, ministerstwo część arkuszy papierowych już zdołało usunąć, ale nie wszystkie. Zdaniem organu taka opieszałość jest niedopuszczalna. Za niedopuszczalne organ uznał również zaproponowany przez administrację okres 4 lat na usunięcie naruszeń.
Zgodnie z francuskimi przepisami CNIL nie ma prawa nałożenia administracyjnej kary pieniężnej na podmiot administracji publicznej. Jednocześnie CNIL nakazał usunięcie naruszenia do końca 2021 r., a arkusze papierowe muszą zostać usunięte do końca 2022 r.
Dodatkowo organ wskazał, że osoby, których dane są przechowywane w bazie nie są informowane czy to na początku śledztwa czy przy wydaniu decyzji, że ich dane będą znajdować się we wskazanej bazie. Ponadto, CNIL stwierdził, że zastosowane przez ministerstwo środki bezpieczeństwa są niewystarczające. Chociażby wskazał, że logowanie do bazy jest zabezpieczone jedynie hasłem składającym się z ośmiu znaków.
Źródło: https://www.euractiv.com/section/data-protection/news/french-privacy-watchdog-takes-action-on-government-fingerprint-database-issues/
