4 млн. норвежки крони глоба за националната пътна агенция за нарушаване на GDPR при обработка на лични данни на пътуващите

Санкцията е след подадена жалба на гражданин до DPA за ненавреме заличена информация

Норвежкият орган за защита на данните DPA наложи санкция на националната пътна администрация  в размер на 4 милиона норвежки крони. Глобата е заради констатирана невъзможност за изтриване на информация за преминаващите.

Пътната администрация не е изтрила в своята база данни информация като номер на чип, местоположение и време на преминаване.

Норвежката администрация е обработвала лични данни незаконно, пише в съобщението на DPA. Функцията за изтриване липсва и има огромно количество информация, която не е била необходима за съхраняване, казват от ръководството на надзора за защитата на данните.

Те поставят акцент върху факта, че системата не съдържа вградена поверителност като автоматично изтриване.

Констатирано е и като сериозен недостатък, че системата не е проектирана според Регламента относно защитата на данните (GDPR). Хората трябва да могат да пътуват, без да се правят ненужни регистрации, казва директорът на DPA.

Глобата за нарушението в размер на 4 милиона норвежки крони е най-високата, налагана от норвежкия орган за защита на данните, след влизането в сила на GDPR.

DPA изисква от Норвежката пътна администрация да изтрие личните данни, като номер на чип, местоположение и време на преминаване, които се съхраняват извън времето, през което администрацията на пътищата може законно да запази тази лична информация.

Причината е, че такава лична информация вече не е необходима за целта, за която е била първоначално събрана или обработена.

Норвежката администрация за обществени пътища работи в момента за отстраняване на тези недостатъци и ще въведе нова база данни, в която е налице функционалността за изтриване на данни.

Първоначално личните данни са се съхранявали с цел фактуриране и с основание член 6 на GDPR. Според националния Закон за счетоводството е необходимо първичната документация да се съхранява до 5 години след края на финансовата година. Ако лични данни се съхраняват по-дълго от изискването по Закона за  счетоводството, съхраняването на информацията не отговаря на изискването за необходимост в разпоредбата и след това те трябва да бъдат изтрити.

Можете да споделите: