Adatvédelmi ügyek Skandináviából
Amint azt időről időre megtesszük, most ismét beszámolunk a skandináv hatóságok közlemúltban történt adatvédelmi ügyeiről. Ezúttal a dán és norvég hatóságoktól 2-2, a svéd hatóságtól pedig egy esetről írunk részeltesebben.
Dánia:
2,4M bírság egy önkormányzatnak személyes adat félreküldése miatt
A Dán Adatvédelmi Hatóság (Datatilsynet) 2020. december 9-én tette közzé, hogy 50.000 dán korona (2,4M Ft) bírságot javasolt a dániai Guldborgsund város önkormányzatának. A dán szabályozás értelmében a Hatóság maga nem szabhat ki bírságot, hanem feljelentést kell tennie a rendőrségen, és ezen eljárás lezárultát követően csupán a bíróság szabhat ki adatvédelmi bírságot.
Az adatvédelmi incidenst az okozta, hogy a megbírságolt önkormányzat a digitális postán keresztül tévesen egy gyermek apjának küldött el a gyermekre vonatkozó személyes adatokat (pl. lakcímet) annak ellenére, hogy a bíróság az apát korábban eltiltotta a gyámságtól. A Datatilsynet megállapítása szerint az önkormányzat ezzel veszélybe sodorta a gyermek biztonságát.
A továbbiakban azt is megállapították, hogy a tévedés felderítése után sem tájékoztatta az önkormányzat az érintetteket, illetve a Hatóságot. A Datatilsynet vezetője külön kiemelte, hogy az állampolgárok adatainak biztonságát minden esetben garantálni kell az adatkezelő intézménynek, és a ha szükséges, a GDPR-ban foglaltak szerint tájékoztatni kell az érintetteket, illetve a hatóságot.
Önkormányzati oldalak cookie kezelése
A Datatilsynet 2020. december 17-én jelentette be, hogy adatvédelmi vizsgálatot indít Roskilde és Naevstved önkormányzata ellen, mely vizsgálat kifejezetten az önkormányzatok honlapjain a cookiekkal kapcsolatosan található hozzájárulási mechanizmust célozza.
A Hatóság még 2020 februárjában adott ki egy iránymutatást a weboldalakon a cookiek alkalmazása kapcsán használandó hozzájárulás feltételeiről és módjáról. Ennek egyik leglényegesebb pontja az volt, miszerint a felhasználónak meg kell adni a döntési lehetőséget, hogy a weboldal kezelheti-e a személyes adatait vagy sem.
A vizsgálat egy bejelentés miatt indult, mely szerint a két említett weboldal a februári iránymutatás óta nem felel meg az új szabályoknak. A Hatóság egyelőre nem árult el részleteket az ügyről.
Norvégia
6,9M bírság személyes adatok jogalap nélküli online megosztása miatt
Korábban ugyanezen önkormányzat kórházának bírságáról már volt szó, most azonban maga az önkormányzat kapott 200.000 koronás (6,9M Ft) bírságot, melyet 2020. december 3-án jelentett be Norvég Adatvédelmi Hatóság (Datatilsynet).
Az incidens a helyi újság szerint azzal összefüggésben történt, hogy egy diák hozzáférést kért az adataihoz az önkormányzattól. Ezt az önkormányzat tévesen oly módon teljesítette, hogy az adatok publikusan is elérhetők voltak online, így 3 napon keresztül bárki megismerhette azokat.
Az újságíró bejelentését követően a mappához való hozzáférésen változtattak és a dokumentumok törölve lettek az önkormányzati honlapról. Ezután tájékoztatták az incidensről az érintettet.
A Hatóság megállapította, hogy súlyos mulasztás történt, melynek következtében személyes adatok kerültek közzétételre egy nyilvánosan látogatható, nagy forgalmú honlapon. Bár Ostfold a gyors intézkedések fényében a bírság csökkentésére kérte a Hatóságot, utóbbi kijelentette, hogy a döntésében meghatározott bírság összege az incidens súlyosságát jelzi és az azt követő intézkedéseknek kevés hatása van a végül kiszabott összegre.
Megrovás a Telenornak ugyanazért, amiért korábban már bírságot kaptak
2020.december 8-án jelentette be a Datatilsynet, hogy megrovásban részesíti a Telenor Norge céget nem megfelelő adatbiztonsági intézkedések alkalmazásáért.
Egy biztonsági hibának köszönhetően közel 1,3 millió felhasználó hangpostafiókjához férhettek hozzá illetéktelen személyek a „Spoofing” módszer használatával. Ennek lényege, hogy a hívást úgy álcázzák, mintha azt maga a felhasználó indította volna. A jelenség nem számít újnak, régóta próbálkoznak hasonló módszerekkel bűnözők.
A Hatóság megjegyezte, hogy az incidenst a Telenornak már korábban jelentenie kellett volna, hiszen a hiba évek óta jelen volt a rendszerükben. A Datatilsynet szintén kiemelte, hogy kiemelkedően nagy számú érintett személyes adatai kerülhettek így illetéktelen kezekbe, mely önmagában bizonyította az elégtelen biztonsági intézkedések használatát.
A Nemzeti Kommunikációs Hatóság (NKOM) ráadásul korábban már 1,5 millió korona (~52M Ft) bírságot szabott ki a Telenorra ugyanezért a mulasztásért. Azért, hogy az adatvédelmi hatóság elkerülje a Telenor kétszeri megbírságolását ugyanazon szabálysértésért, úgy döntött, csupán megrovásban részesíti a céget. Egyrészt a GDPR 32. cikk (1) bekezdésének megsértését, mivel a nem rendelkezett a szükséges biztonsági intézkedésekkel, másrészt a 33. cikk megsértéséért, mivel nem tett eleget időben bejelentési kötelezettségének.
Svédország:
10 milliós bírság egy lakásszövetkezetnek
A sort ezúttal a Svéd Adatvédelmi Hatóság (Datainspektionen) 2020. december 15-én bejelentett ügyével zárjuk, melyben 300.000 korona (~10,7M Ft) bírságot szabott ki egy lakásszövetkezetre szabálytalan kamerás megfigyelés miatt.
Döntésében a Hatóság rögzítette, hogy a vizsgálat egy panasz nyomán indult, mely szerint a szövetkezet által telepített kamerák több lakót is zavartak. A vizsgálat során egyébként megállapították, hogy több lakó ajtaját is közvetlenül rögzítette a kamera, valamint, hogy a kamerák a többi lakó jogait is sértették.
A Datainspektionen ezen felül felhívta a figyelmet, hogy bár a szövetkezet a GDPR 6. cikk (1) bekezdés f) pontját, tehát a saját jogos érdekét jelölte meg a megfigyelés jogalapjául, az adott helyzetben az érintettek alapvető joga, hogy ne tartsák őket megfigyelés alatt, felülírja ezt a jogos érdeket.