Глоби от 20 643 и 8 945 евро наложи исландският надзорен орган за защита на данните

Едната санкция е за медицински център за лечение на зависимости, а другата –  за училище в Рейкявик

Исландският надзорен орган (SA) наложи глоба от 3 млн. исландски крони (20.643 EUR) на медицински център за лечение на зависимости за нарушение на защитата на личните данни. Националният център по лечение на зависимости е неправителствена организация, която управлява клиника за детоксикация и четири стационарни и амбулаторни рехабилитационни центрове, както и центрове за семейни услуги и социален център в Исландия. Услугите му се предоставят от персонал от лекари, психолози, медицински сестри и лицензирани консултанти. Нарушението е станало, когато пенсиониран бивш служител на центъра получава като доставка в дома си вместо лични вещи, кутии с документи. В папките има данни за пациенти, включително здравни записи на 252 бивши пациенти и записи, съдържащи имената на приблизително 3 000 души, които са били на рехабилитация заради злоупотреба с алкохол или наркотични вещества.

След разследване на инцидента SA определя, че нарушението е резултат от липса на прилагане на подходящи политики за защита на данните и технически и организационни мерки за защита на данните от администратора – чл. 5 и чл. 32 от GDPR.

При определяне на глобата SA отчита вида и обема на личните данни, обект на нарушението и усилията на администратора за подобряване на работата с личните данни още преди инцидента.

Глобата в размер на 1 300 000 искалдски крони (8.945 EUR) е наложена на училище заради грешен прикачен файл в имейл до родителите.

Учител от училище в Рейкявик изпратил имейл до своите ученици и техните родители или настойници, общо 57 души като смятал, че прикачва към електронното писмо график за консултации.

Приложеният файл обаче засяга съвсем различна група от 18 ученици и съдържа данни за тяхното състояние, резултатите от обучението и социалните условия. До голяма степен информацията засяга проблемите на студентите. В един случай данните са свързани с намеса на службите за закрила на детето. Освен това има данни за физическото заболяване на един ученик и за проблема с психичното здраве на друг.

След проверка SA заключава, че нарушението е резултат от липса на прилагане на подходящи политики за защита на данните и подходящи технически и организационни мерки за защита на данните от администратора – чл. 5 и чл. 32 от GDPR.

Можете да споделите: