Volgens het besluit van de CNPD gaat het om schendingen door INE bij de behandeling van bijzondere categorieën van persoonsgegevens, de plicht om betrokkenen te informeren en de regels die van toepassing zijn op het inhuren van een bedrijf om de in de tellingen verzamelde gegevens te beheren.
Schendingen werden ook overwogen met betrekking tot het optreden van het instituut inzake de doorgifte van gegevens aan derde landen en het niet uitvoeren van een effectbeoordeling inzake persoonsgegevens.
De commissie begrijpt dat de actie van INE de praktijk van vijf overtredingen "voorzien en bestraft" is door de RGPD, en benadrukt dat de overtredingen "een aanzienlijke mate van ernst aannemen, gezien het aantal betrokkenen (...), de context waarin dat gebeurde, met name de verplichte reactie op de volkstelling van 2021 en de overtuiging dat ze verplicht waren".
Het besluit van de CNPD wijst de entiteit die verantwoordelijk is voor de uitvoering van de tellingen aan als een "nalatige handeling", door het schenden van de transparantieplicht en de zorgplicht door het gebrek aan informatie aan betrokkenen over de betrokken activiteit (het uitvoeren van de tellingen).
De CNPD is ook van mening dat INE met kwade opzet heeft gehandeld door bij het bedrijf dat de persoonsgegevens zou verzamelen en beheren niet na te gaan of het de gegevens niet aan derde landen zou doorgeven.
Daarom concludeert de CNPD dat twee administratieve overtredingen het gevolg zijn van nalatigheid en dat drie andere opzettelijk zijn begaan.
"Mogelijke fraude"
"INE wist, en kon niet ontkennen te weten, het dwingende karakter van zijn verplichtingen en was tevreden met de mogelijkheid om de feiten waarvan het wordt beschuldigd uit te voeren, waarvoor zij als mogelijke fraude aan de verweerder worden toegerekend", stelt de deliberatie van het organisme van 02 november 2022.
Volgens de commissie, INE bleek "een veronachtzaming van de beginselen en verplichtingen voorzien in de GPDR, door te vertrouwen op een interventie van de toezichthoudende autoriteit [CNPD], in plaats van het initiatief te nemen om ervoor te zorgen dat de volkstellingsoperatie in overeenstemming met die regeling was".
De vijf overtredingen hebben geleid tot vijf boetes van 6,5 miljoen euro.
Nadat de instantie echter een "hoge mate van censuur op het gedrag van de beklaagde" en de noodzaak van een "sanctie die de hoge mate van censuur op dit gedrag weerspiegelt" had erkend, heeft zij uiteindelijk het ontbreken van een register van overtredingen door INE aan het licht gebracht en één boete van 4,3 miljoen euro opgelegd.
De uitvoering van de tellingen van 2021 was omgeven door controverse na het contract met het bedrijf Cloudflare, dat verantwoordelijk was voor de beveiliging van de site die de antwoorden op de tellingen verzamelde, en dat voorzag in de overdracht van persoonsgegevens naar de Verenigde Staten van Amerika of andere landen.
De nationale commissie voor gegevensbescherming eiste daarop de opschorting van elke overdracht van persoonsgegevens, waarop INE het contract met het bedrijf opschortte.