Шведският орган за защита на поверителността глоби образователния съвет на град Стокхолм 4 млн. крони заради информационната училищна система

Swedish Authority for Privacy Protection е преводът на английски на новото има на надзорния орган

От 1 януари 2021 година шведският орган за защита на данните Datainspektionen се казва Integritetsskyddsmyndigheten (IMY). Английското име е Swedish Authority for Privacy Protection.

Сега ще припомня една глоба, наложена още от инспекцията – на 24 ноември 2020 г. тя съобщи, че заради недостатъчно ниво на сигурност на училищната ИТ система образователният съвет в град Стокхолм е санкциониран с четири милиона шведски крони.

Шведският орган за защита на данните е уведомен за нарушение на личните данни, но не от образователния съвет на град Стокхолм, пише в доклада му. Училищната платформа съдържа информация за 500 000 ученици, настойници и учители. Системата съдържа чувствителни данни, включително специални категории лични данни, както и информация за ученици и учители с класифицирана информация или защитена самоличност.

При преглед на подсистеми в училищната платформа са откри сериозни недостатъци. В една от подсистемите някои от членовете на персонала да имат достъп до информация за ученици със защитена идентичност.

В друга подсистема настойниците са имали достъп до информация за други деца. Чрез търсене в Google пък е било възможно да се намерят връзки за влизане в административен интерфейс, в който е била достъпна информация за учители със защитена самоличност.

Шведският орган за защита на данните налага административна глоба от четири милиона шведски крони за откритите нарушения. В Швеция максималната сума за административни глоби срещу публичните власти е 10 милиона шведски крони.

В своето решение шведският орган за защита на данните пише, че образователният съвет не е създал гаранции за сигурна обработка на данните. Съветът не е въвел адекватни технически и организационни мерки, за да осигури ниво на сигурност, съответстващо на риска, включително процедура за редовно тестване, изследване и оценка на ефективността на съществуващите технически мерки.

В съобщението е цитиран и Сали Фаней, който участва в разследването на шведския орган за защита на данните, да казва, че според GDPR, административните глоби трябва да бъдат ефективни, пропорционални и възпиращи. В този случай от нарушенията са засегнали няколкостотин хиляди субекти на данни, включително деца и ученици, както и чувствителни и специални категории лични данни, като например данни относно лица със защитена самоличност и здравни данни.

Можете да споделите: