Шведският орган за защита на данните глобява администрации за нарушаване на GDPR

Datainspektionen  разпорежда да се въведат липсващи вътрешни процедури –  за публикуване на ведомствен уебсайт и за документиране на нарушения на личните данни и глобява администраторите 120 000 и 200 000 шведски крони.

Шведският орган за защита на данните (DPA) наложи глоба на регионална здравна служба в размер на 120 000 крони – 80 000 за нарушенията на членове 5, 6 и 9 от Общия регламента за защита на данните и 40 000 шведски крони за член 32.

Разследването установило че местният Комитет по здравеопазване погрешно е публикувал чувствителните лични данни за пациент в сайта си. На пациента предстояло приемане в съдебно-психиатрична клиника, за което трябвало да даде проби дали е взимал наркотици.

Шведският орган за защита на данните е уведомен с жалба, че на ведомствения уебсайт са публикувани чувствителни лични данни за пациента от клиниката по съдебна психиатрия.

Одитът на Шведския орган за защита на данните показва, че няма писмени инструкции за публикуването на документи и лични данни на съществуващия уебсайт. Инструкциите за публикуване на информация са били само устни. В конкретния случай инструкциите не са били спазени, което и е довело до публикацията.

Здравният Комитет не е предприел достатъчно организационни мерки, за да гарантира, че личните данни са защитени от неправомерно публикуване на уебсайта на региона. Той ще трябва да създаде писмени инструкции и да въведе мерки, които гарантират, че тези, които публикуват лични данни на уебсайта на региона, го правят в съответствие със зададените инструкции.

В своето решение Шведският орган за защита на данните също заключава, че по отношение на публикуването Комитетът няма нито законна цел, нито правно основание, нито изпълнява изискванията за освобождаване от общата забрана за обработка на чувствителни лични данни в GDPR.

Шведският орган за защита на данните разпорежда на Комитета да приведе обработката на личните си данни в съответствие и освен това налага административна глоба в размер на 120 000 шведски крони (приблизително 11 000 евро) срещу Комитета.

Въпросният публикуван документ е премахнат от уебсайта на региона.

Шведският орган за защита на данните наложи и глоба в размер на 200 000 шведски крони (приблизително 18 700 евро) на Националния център за обслужване (NGSC) за това, че не е уведомил своевременно засегнатите страни за нарушаване на личните данни.

Органът за защита на данните (DPA) започва разследване срещу Националния център за обслужване (NGSC), след като получава редица известия за нарушаване на лични данни след грешка в ИТ системата за администриране на заплатите. Грешката дава възможност за неправомерен достъп до лични данни както на персонала на органите, използващи системата, така и на персонала на NGSC.

DPA отбеляза, че са били необходими почти пет месеца NGSC да уведоми засегнатите страни и близо три месеца, преди DPA да получи уведомление за нарушение на данните.

В своето решение DPA разпорежда на NGSC да въведе вътрешни процедури за документиране на нарушения на личните данни и да провери дали тези процедури са спазени.  Заедно с тази заповед DPA налага административна глоба на NGSC от общо 200 000 шведски крони.

Можете да споделите: