A norvég adatvédelmi hatóság őszi bírságai

január 6, 2021
Cikkek, GDPR bírság

Ahogy legutóbb is megtettük, ebben a cikkünkben ismét beszámolunk az egyik legaktívabb, a norvég adatvédelmi hatóság (Datatilsynet) aktuális bírságairól. Ahogy legutóbb, a mostani bírságok közül is az egyiket jogellenes kamerás megfigyelés miatt szabta ki a Hatóság, míg a másik esetben egy kórház adatbiztonságát találta elégtelennek.

Közterületi kamerafelvételek jogellenes kezelése

A Hatóság 2020. november 20-án 400.000 korona (~13,2M Ft) összegű bírsággal sújtotta a Norvég Vámhatóságot, mivel az számos hatósági kamera által rögzített felvételt jogellenesen kezelt. A Vámhatóság összesen több, mint 70 millió határátkelést rögzített megfelelő jogalap nélkül, az érintettek száma ezzel 7-8 millió közé tehető.

Ezen felül olyan fix és mobilkamerák felvételeit is kezelték, melyeket a Norvég Közútkezelő helyezett ki (tehát a Vámhatóságnak hozzáférési joga sem lehetett volna), és melyek nem határátkelést vagy azzal kapcsolatos eseményeket rögzítettek. A Datatilsynet ezek alapján megállapította, hogy a felvételek kezelése nem történhet a vámtörvény rendelkezései alapján. Szintén megállapította, hogy a Vámhatóság tudatában volt jogsértő magatartásának, mégsem tett a hibák kijavítására irányuló intézkedéseket, amely egy közhivataltól elfogadhatatlan.

A bírság összegét a Hatóság előzetesen 900.000 koronában állapította meg, majd ezt később csökkentette, miután megbizonyosodott róla, hogy a jogellenesen tárolt adatok a tároláson kívül nem kerültek egyéb célból valójában jogellenesen felhasználásra. Mivel a jogsértés 2018. előtt történt, a bírság kiszabására a személyes adatok kezelésére vonatkozó korábbi jogszabály rendelkezései voltak az irányadóak.

Bírság egy kórháznak különleges adatok veszélyeztetéséért

A Datatilsynet 2020. október 27-én jelentette be 750.000 koronás (~24,8M Ft) bírságát az Ostfold HF kórház ellen. Az ügy egy magánszemély panasza nyomán indult, és a 2013-2019 közötti időszakot vizsgálta.

Ezen időszak alatt a kórház informatikai rendszerében három különböző pácienslista volt elérhető, valamennyi alkalmazott számára korlátozás nélkül, ezen kívül az egyes hozzáférési jogosultságok nem lettek külön meghatározva, továbbá ezeket a listákat a kórház akkor is tárolta, mikor azokra már nem volt szükség.

A listák olyan személyek adatait tartalmazták, akiket a kórház elbocsátásra alkalmasként jelölt meg, és különleges adatokat is tartalmazott. A három lista az alábbi adatokat tartalmazta:

A hazaengedhető páciensek listája (25-30 személy, 15 percenként frissítve)
A hazaengedhető betegek korábbi listája 2013-2019 időszak között (13.800 beteg és 26.596 hazabocsátás adatai)
Két pácienslista körülbelül 30 személy személyazonosító és egészségügyi ellátással adataival

A publikusan hozzáférhető listán megtalálható volt a páciensek:

neve,
születési ideje,
közigazgatási és szervezeti hovatartozása, illetve
más egészségügyi intézménybe való áthelyezéssel kapcsolatos adatai.

A fentebbi mulasztások figyelembevételével a Datatilsynet döntésében megállapította, hogy az Ostfold HF kórház nem hozta meg a szükséges biztonsági intézkedéseket az általa kezelt adatok biztonsága érdekében, így nem tett eleget többek között a GDPR 32. cikkében foglaltaknak.

A kórházat a hatóság a bírság megfizetésén túl kötelezte megfelelő biztonsági intézkedések meghozatalára, valamint azok rendszeres felülvizsgálatára és annak biztosítására, hogy az abban meghatározott biztonsági szabályok és intézkedések betartásra kerülnek.

Kémkedhetnek az okoseszközeinken keresztül

Svédország: 11.000 eurós büntetés különleges adatok közzétételéért

8M bírság személyes adatok jogalap nélküli megosztásáért a neten