Az izlandi hatóság megbírságolta a Breiðholt középiskolát
2020. március 5-én az izlandi Adatvédelmi Hatóság meghozta a határozatát, amelyben 1.300.000. izlandi Korona (kb. 9000 euró) összegű közigazgatási bírságot szabott ki egy iskolára a személyes adatok kezelésére vonatkozó szabályok megsértése miatt.
A jogsértést azzal valósult meg, hogy egy tanár az iskolából köremailt-t akart küldeni a diákjainak és azok szüleinek/törvényes képviselőinek, összesen 57 embernek, azonban rossz fájlt csatolt az e-mailbe és a konzultációs időpontok helyett egy másik csoport adatait tartalmazó fájl került elküldésre.
Az üzenethez csatolt dokumentum ehelyett 18 diák magatartására, tanulmányi eredményeire és családi körülményeire betegségeire vonatkozó személyes adatokat, valamint a problémáik leírását tartalmazta.
Az incidens vizsgálata során a Hatóság megállapította, hogy a jogsértés az adatvédelmi alapelvek (GDPR 5. cikk), valamint az érintettek adatainak védelemre szolgáló megfelelő műszaki és szervezési intézkedések (GDPR 32. cikk) végrehajtására vonatkozó kötelezettség elmulasztásából eredt.
A Hatóság a bírság kiszabásakor figyelembe vette a kezelt adatok jellegét, tehát egyrészt azt, hogy gyermekek adatairól volt szó, másrészt azt, hogy különleges személyes adatokról. A Hatóság az iskola nonprofit jellegére is tekintettel volt.
Hasonló esetek a mindennapokban is bármikor előfordulhatnak, akár azért, mert a címzettet írja el az adatkezelő, akár azért mert a mostani esethez hasonlóan esetleg rossz személyes adatokat csatol az e-mailbe. Az ilyen események adatvédelmi incidensnek minősülnek, azonban nem minden esetben biztos, hogy szükséges jelenteni is a hatóságnak, illetve az érintetteknek. Az ilyen jellegű incidensek előfordulását leginkább azzal lehet csökkenteni, ha nem küldünk személyes adatokat e-mailben titkosítatlanul.
