A norvég adatvédelmi hatóság őszi bírságai
Ahogy legutóbb is megtettük, ebben a cikkünkben ismét beszámolunk az egyik legaktívabb, a norvég adatvédelmi hatóság (Datatilsynet) aktuális bírságairól. Ahogy legutóbb, a mostani bírságok közül is az egyiket jogellenes kamerás megfigyelés miatt szabta ki a Hatóság, míg a másik esetben egy kórház adatbiztonságát találta elégtelennek.
Közterületi kamerafelvételek jogellenes kezelése
A Hatóság 2020. november 20-án 400.000 korona (~13,2M Ft) összegű bírsággal sújtotta a Norvég Vámhatóságot, mivel az számos hatósági kamera által rögzített felvételt jogellenesen kezelt. A Vámhatóság összesen több, mint 70 millió határátkelést rögzített megfelelő jogalap nélkül, az érintettek száma ezzel 7-8 millió közé tehető.
Ezen felül olyan fix és mobilkamerák felvételeit is kezelték, melyeket a Norvég Közútkezelő helyezett ki (tehát a Vámhatóságnak hozzáférési joga sem lehetett volna), és melyek nem határátkelést vagy azzal kapcsolatos eseményeket rögzítettek. A Datatilsynet ezek alapján megállapította, hogy a felvételek kezelése nem történhet a vámtörvény rendelkezései alapján. Szintén megállapította, hogy a Vámhatóság tudatában volt jogsértő magatartásának, mégsem tett a hibák kijavítására irányuló intézkedéseket, amely egy közhivataltól elfogadhatatlan.
A bírság összegét a Hatóság előzetesen 900.000 koronában állapította meg, majd ezt később csökkentette, miután megbizonyosodott róla, hogy a jogellenesen tárolt adatok a tároláson kívül nem kerültek egyéb célból valójában jogellenesen felhasználásra. Mivel a jogsértés 2018. előtt történt, a bírság kiszabására a személyes adatok kezelésére vonatkozó korábbi jogszabály rendelkezései voltak az irányadóak.
Bírság egy kórháznak különleges adatok veszélyeztetéséért
A Datatilsynet 2020. október 27-én jelentette be 750.000 koronás (~24,8M Ft) bírságát az Ostfold HF kórház ellen. Az ügy egy magánszemély panasza nyomán indult, és a 2013-2019 közötti időszakot vizsgálta.
Ezen időszak alatt a kórház informatikai rendszerében három különböző pácienslista volt elérhető, valamennyi alkalmazott számára korlátozás nélkül, ezen kívül az egyes hozzáférési jogosultságok nem lettek külön meghatározva, továbbá ezeket a listákat a kórház akkor is tárolta, mikor azokra már nem volt szükség.
A listák olyan személyek adatait tartalmazták, akiket a kórház elbocsátásra alkalmasként jelölt meg, és különleges adatokat is tartalmazott. A három lista az alábbi adatokat tartalmazta:
- A hazaengedhető páciensek listája (25-30 személy, 15 percenként frissítve)
- A hazaengedhető betegek korábbi listája 2013-2019 időszak között (13.800 beteg és 26.596 hazabocsátás adatai)
- Két pácienslista körülbelül 30 személy személyazonosító és egészségügyi ellátással adataival
A publikusan hozzáférhető listán megtalálható volt a páciensek:
- neve,
- születési ideje,
- közigazgatási és szervezeti hovatartozása, illetve
- más egészségügyi intézménybe való áthelyezéssel kapcsolatos adatai.
A fentebbi mulasztások figyelembevételével a Datatilsynet döntésében megállapította, hogy az Ostfold HF kórház nem hozta meg a szükséges biztonsági intézkedéseket az általa kezelt adatok biztonsága érdekében, így nem tett eleget többek között a GDPR 32. cikkében foglaltaknak.
A kórházat a hatóság a bírság megfizetésén túl kötelezte megfelelő biztonsági intézkedések meghozatalára, valamint azok rendszeres felülvizsgálatára és annak biztosítására, hogy az abban meghatározott biztonsági szabályok és intézkedések betartásra kerülnek.