Skandináv adatvédelmi hatóságok bírságai 70M forint összegben

július 21, 2020
Cikkek, GDPR bírság

Ugyan a dán adatvédelmi hatóság (DPA) bírságairól nemrég számoltunk be, azonban a skandináv hatóságok azóta sem pihentek; számos új esetben hoztak döntést, melyeket alább vizsgálunk meg részletesebben.

A dán Hatóság június 30-án jelentette be, hogy 50.000 dán koronára (~2,4 millió forint) bírságolta meg Lejre Önkormányzatát nem megfelelő biztonsági intézkedések alkalmazása miatt. A döntés kitért rá, hogy az önkormányzat gyermekekkel foglalkozó osztálya oly módon tárolta a rábízott 18 év alatti gyermekek személyes adatait, hogy azokhoz az önkormányzat szinte teljes személyzete hozzáférhetett, akkor is, ha munkakörükbe nem tartozott bele ezeknek az ügyeknek a kezelése. A Hatóság továbbá sérelmezte, hogy az önkormányzat nem tájékoztatta az érintetteket az incidens követően, hogy adataik veszélybe kerültek. A bírság kiszabásakor a Hatóság figyelembe vette az adatvédelmi incidens jellegét, illetve az érintettek körét, számukat, és az önkormányzat erőforrásait.

Ahogy korábban is írtunk már róla, a dán szabályozás némiképp eltér az EU területén leggyakrabban alkalmazott gyakorlattól, ugyanis a dán adatvédelmi hatóság maga nem szabhat ki bírságokat. Miután bejelentést kapnak egy esetről, továbbítják azt a rendőrséghez, akik a feljelentést nyomán vizsgálatot folytatnak le. Amennyiben a nyomozás megállapítja, hogy jogsértés történt, a bíróság dolga kiszabni a bírságot.

Hasonlóan, gyermekek adatainak sérelme miatt bírságolta meg a norvég Hatóság Raelingen Önkormányzatát. Ebben az esetben az érintettek testi-, és értelmi fogyatékos gyermekek voltak. Az ő egészségügyi adataikat kezelte az önkormányzat a Showbie digitális oktatási platformon keresztül. Az adatokhoz az iskolák és az érintettek otthonai is hozzáférhettek, a Hatóság rámutatott, hogy a használt oktatási platform nem rendelkezett az adatok érzékenységének megfelelő biztonsági tulajdonságokkal. A 15 gyermeket érintő incidensben az önkormányzat elmulasztotta az előzetes hatásvizsgálat elvégzését, amit ilyen esetben a GDPR előír. A Hatóság által kiszabott bírság összege 800.000 Norvég Korona (~26M forint).

Szintén a norvég Hatóság bírságolta meg az Ostfoldi Kórházat nem megfelelő adattárolás miatt, melyről levélben értesítette az adatkezelőt. Az említett levél kitér arra, hogy miután a Hatóság vizsgálatot kezdeményezett az intézmény ellen, kimutatta, hogy az Ostfold Kórház 2013 és 2019 között oly módon kezelte páciensei adatait, hogy nem korlátozta a hozzáférést a mappához, ahol ezeket a fájlokat tárolta. Az adatok között különösen érzékeny jellegűek is voltak, például a páciensek kórházba való bekerülésére és egészségi állapotára vonatkozó adatok. A Hatóság megállapította, hogy a kórház adatkezelésre vonatkozó technikai és szervezési intézkedései elégtelenek voltak, nemcsak a GDPR, hanem a helyi, betegek jogairól szóló törvény rendelkezései szerint is. A kiszabott bírság összege 1.200.000 Norvég Korona, mindegy 39 millió forint.

Végül, 300.000 Norvég Korona (10M forint) bírságot kapott az Odin Flissenter AS nevű cég a norvég hatóságtól hitelképességgel kapcsolatos adatok jogalap nélküli kezeléséért. Ahogy korábban is megírtuk, a hitelképességgel kapcsolatos adatok személyes adatnak minősülnek, mivel segítségükkel információhoz lehet jutni az érintett anyagi, munkaügyi, esetleg szociális helyzetéről. A jelen esetben egy cég hitelképességének a jogalap nélküli felmérése, a tulajdonos anyagi helyzetére vonatkozó információkat is hordozott. A DPA kiemelte továbbá, hogy a cég hitelképességének vizsgálata annak ellenére történt, hogy a cég és az Odin Flissenter között nem állt fenn üzleti kapcsolat sem a vizsgálat alatt, sem azt megelőzően.

Augusztusi spanyol adatvédelmi hatósági híreink

NAIH: a szülőket megillető hozzáférési jog gyakorlása

NOYB: FB kártérítés; EP panasz; hatóság döntésének megtámadása