Svédország: 11.000 eurós büntetés különleges adatok közzétételéért

120.000 svéd Koronás (mintegy 11.000 eurónyi) büntetést szabott ki a Svéd Adatvédelmi Hivatal a svédországi Örebro megye egészségügyi bizottságára. A vizsgálat azután indult, hogy egy személy különleges adatai publikusan megtekinthetők voltak a megye honlapján, és erről panasz érkezett a hatósághoz. Az adatok az érintett egy törvényszéki pszichiátriai klinikai kezeléséről szóltak.

Az Adatvédelmi Hatóság vizsgálatot rendelt el az ügyben, melynek eredményeként kiderült, hogy a bizottságnak semmilyen írásban lefektetett eljárásrendje sincs a hasonló adatok kezelésének módjáról. Ehelyett az utasításokat szóban adták egymásnak az alkalmazottak. A jelenlegi eset egy ilyen szóbeli utasítás félreértéséből adódott. Bár az adatok közzététele véletlenül történt, az esemény rámutatott a szóban forgó szervezet protokolljainak hiányosságaira, tehát arra, hogy a gyakorlat nem felel meg adatkezelési szempontból sem a beépített és alapértelmezett adatvédelem, sem pedig az elszámoltathatóság elvének.

A Hatóság a döntésében rögzítette, hogy a bizottságnak nem volt jogalapja a kérdéses adatok nyilvánosságra hozatalára, egyben utasította olyan írásbeli eljárásrend megalkotására, amely biztosítja, hogy hasonló adatvédelmi incidensre a jövőben nem kerül sor. Ezen felül 120.000 svéd Korona közigazgatási bírság megfizetésére is kötelezték a bizottságot.

Az örebroi egészségügyi bizottság elkerülhette volna a jogsértést, ha:

1. Rendelkezik olyan belső adatvédelmi szabályzattal, amely írásos és egyértelműen meghatározott utasításokat ad az érzékeny adatok kezelésére és publikálásra vonatkozóan.
2. Betartja a GDPR 24. cikkének hatályos rendelkezéseit, miszerint: „az adatkezelő az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket hajt végre annak biztosítása és bizonyítása céljából, hogy a személyes adatok kezelése e rendelettel összhangban történik.”
3. Megfelelő képzést biztosít alkalmazottjainak az adatok kezelésével kapcsolatosan. Személyes adatok kezelésénél kiemelt fontosságú, hogy az alkalmazottak részletes írásos utasításokkal rendelkezzenek az elvégzendő munkafolyamatokról, és megértsék a mögöttes adatvédelmi szabályokat.

Nem ez volt az első bírság, amelyet a svéd hatóság osztott ki, korábban mi is beszámoltunk már a Google-el szembeni 7 millió eurós bírságukról, valamint arról, amikor a Nemzeti Kormányzati Szolgáltató Központot (NGSC) bírságolták 7 millió forintra.