Den portugisiska dataskyddsmyndigheten inledde en undersökning av Setubals kommun för överträdelser av GDPR. Detta efter att en tidning publicerat en artikel som beskrev hur ryska medborgare, som påstås vara del av en östeuropeisk immigrantförening, hade tillgång till ukrainska flyktingars personuppgifter, inklusive kopior av identifikationsdokument. Dessa ryska medborgare ställde också frågor till flyktingarna om deras släktingars vistelseort och aktiviteter i Ukraina. Två medlemmar av föreningen var integrerade i Setubals etniska och invandrarkontor för att erbjuda hjälp och rådgivning till flyktingarna. Enligt artikeln delade dessa ryska medborgare personuppgifterna med den ryska regeringen.
Denna händelse inträffade inom ramen för en kommunal flyktinghjälplinje, som skapades i mars 2022. Hjälplinjen använde två rum i kommunens byggnad för att erbjuda sina tjänster. Flyktingarnas personuppgifter samlades in genom två formulär: ett assistansformulär och ett telefonassistansformulär. Formulären samlade in uppgifter som namn, adress, födelsedatum, civilstånd, och information om deras stödnätverk. Under utredningen upptäckte myndigheten att en av de ryska medborgarna, som agerade som översättare, hade gett sina inloggningsuppgifter till sin man, som inte var anställd av kommunen. Han hjälpte till att samla in och kopiera personuppgifter och fungerade också som översättare, utan formell dokumentation eller godkännande.
Dataskyddsmyndigheten fann att kommunen brutit mot principen om integritets och konfidentialitet i GDPR genom att inte fastställa organisatoriska åtgärder för att skydda informationen eller etablerat riktlinjer för säker hantering av uppgifterna. Kommunen hade också tillåtit personer utanför sina tjänster att få tillgång till den datorutrustning som användes för att behandla personuppgifter utan specifika åtkomstprofiler. Dessutom hade kommunen inte definierat lagringsperioder för personuppgifterna, vilket bröt mot principen om lagringsbegränsning. Kommunen missade även att ge information till de registrerade om identiteten på den personuppgiftsansvarige, syftet med behandlingen och de registrerades rättigheter. Kommunen hade heller inte utsett ett dataskyddsombud förrän efter att undersökningen inleddes. Slutligen fann även myndigheten att ingen konsekvensbedömning hade genomförts, trots att detta krävs när man behandlar uppgifter om sårbara grupper som flyktingar.
Dataskyddsmyndigheten konstaterar att behandlingen av flyktingarnas personuppgifter överträdde flertalet regler i GDPR. Av denna anledning utfärdar den portugisiska dataskyddsmyndigheten en kumulerad sanktionsavgift på €170,000 för de flertalet överträdelser av GDPR som har begåtts i behandlingen av personuppgifter för den sårbara gruppen.
