3 млн. крони глоба за норвежка община за разпространени данни на деца

Приложение, използвано от училища и детски градини, се оказва че разпраща данни на родители с ограничени права

Община Берген вече е получила окончателното решение за налагане на административна глоба в размер на 276 000 евро, казва генералният директор на Органа за защита на данните Бьорн Ерик Тон. Санкцията беше наложена, тъй като общината не е изпълнила технически и организационни мерки за постигане на адекватно ниво на сигурност и не е осигурила поверителност и цялостност на информацията.

Около 3 милиона норвежки крони струва на общината небрежността по отношение на въвеждането на нова система за комуникация между училищата и родителите.

Vigilo първо разпраща на цял випуск лични данни, а след това и разкрива адрес на родител на дете в риск.

В решението на надзорния орган се подчертава, че общината не е създала и не е предала необходимите инструкции до разработчиците относно данните на деца, които имат ясен интерес информацията за тях да бъде пазена с най-висока степен на поверителност. В норвежкия национален регистър, който е аналогичен на българския регистър на населението, са предвидени различни категории защити на данните. Това е от особена важност за живота и здравето на деца, които се нуждаят от закрила.

В случая лична информация е била достъпна за неупълномощени лица. Преценено е и че направените оценки на риска са недостатъчни.

Норвежкият надзорен орган съобщава през ноември, че има препоръки не само към общината, но и към разработчика на приложението Vigilo. И те трябва да поемат отговорност, се казва в съобщението.

Норвежкият орган за защита на данните е посочил на Vigilo, че тези, които обработват данни, са длъжни съгласно GDPR да помагат на общината да гарантира спазването на споразумението за обработка на данни между страните.

“Както виждаме, имаше значителен провал в комуникацията между община Берген и Vigilo.

Ние също така критикуваме факта, че предоставената функционалност за чат не беше част от споразумението между общината и Vigilo.

Това показва лоша комуникация между страните, за които Vigilo трябва да носи основната отговорност,” казва ръководителят на секция Камила Нервик.

Въз основа на документацията, с която разполага Норвежкият орган за защита на данните, той излага на Vigilo задълженията, които имат като обработващ данни съгласно нормативната база. Съгласно GDPR, член 28, параграф 3, буква е), обработващият данни подпомага администратора на данни да гарантира изпълнението на задълженията съгласно членове 32-36.  В буква з) на същия член се посочва, че обработващият данни осигурява на администратора достъп до цялата информация, необходима за доказване на изпълнението на задълженията по член 28.

Това са въпроси, които трябва да бъдат регламентирани в споразумението за обработка на данни между страните.

Надзорният орган отбелязва и че функционалността на чата между родители, предоставени на 18 октомври, не е част от споразумението между общината и разработчика. За тази функционалност общината не е уведомена предварително. Това показва лоша комуникация между страните, и в този случай отговорността за нарушаването на сигурността на личните данни трябва да се понесе от Vigilo.

Можете да споделите: