Няколко глоби от норвежкия надзорен орган за защита на данните

В поредица от публикации разказвам за санкциите в различни размери, но винаги с възпитателно въздействие

През януари Норвежкият орган за защита на данните съобщи, че глобява Aquateknikk AS 10 000 евро (100 000 NOK) за това, че е предоставил кредитен рейтинг на частно лице без правно основание.

Този случай е в отговор на жалба от лице, което е открило, че Aquateknikk му е дал кредитен рейтинг, когато той не е имал връзка с клиенти или някаква друга връзка с компанията.

Общият регламент за защита на данните изисква всяко обработване на лични данни да има основание. Кредитните рейтинги са вид лични данни, подлежащи на специална защита.

Кредитният рейтинг събира лични данни от много различни източници с цел да посочи колко е вероятно лицето да може да плати дължимото. Кредитният рейтинг ще включва и подробна информация за личното финансово състояние на лицето, като съотношението между дълга и дохода, забележки за плащане и ипотека на лицето, ако има такава.

Надзорният орган за защита на данните стига до заключението, че кредитният рейтинг е извършен без правно основание в нарушение на изискванията на Общия регламент за защита на данните GDPR. Предприятието не е имало легитимен интерес да даде кредитен рейтинг на жалбоподателя.

Бьорн Ерик Тон, генерален директор на Норвежкия орган за защита на данните, даже отбелязва колко е неприятно човек да разбере, че някой е имал нзаконен достъп до подробна информация за личното му финансово състояние. Той казва, че получава много жалби относно кредитните рейтинги и вижда, че много организации нямат достатъчно познания за приложимите правила. „Този тип дела са сериозни престъпления и ние обикновено издаваме глоби за такива нарушения “, заключава Тон.

Норвежката DPA отправи официално предупреждение на Telenor за неадекватна защита на личните данни

Норвежкият орган за защита на данните предупреди Telenor Norge AS заради неадекватна защита на личните данни в неговата функция за гласова поща и за това, че не е подал уведомление за нарушение на данните до норвежкия надзорен орган.

Грешка в сигурността прави възможно неупълномощените лица да имат достъп до гласовите съобщения от около 1,3 милиона клиенти, използвайки подправена услуга. Органът за защита на данните установява, че Telenor Norge AS не е въвел задоволителни мерки за сигурност. Тази уязвимост във функцията за гласова поща е била известна от много години.

„Незаконното хакване на входящи пощенски кутии с гласова поща с помощта на „подправящи“ услуги е известен проблем от години. Вярваме, че Telenor е трябвало да идентифицира тази уязвимост във функцията си на гласова поща по-рано“, казва Бьорн Ерик Тон, генерален директор на Норвежкия орган за защита на данните.

Тази уязвимост засегна голям брой абонати. Съобщенията в гласовата поща може да съдържат много информация и това съдържание е до голяма степен извън контрола на Telenor. Тези фактори показват, че мерките за сигурност на Telenor са били недостатъчни.

„Това решение отчита и факта, че Telenor не е изпратил уведомление за нарушение на данните до Органа за защита на данните. Вярваме, че Telenor Norge AS е трябвало да ни съобщи за нарушението на сигурността веднага щом са разбрали за уязвимостта “, казва Бьорн Ерик Тон.

Норвежкият орган за комуникации (NKOM) по-рано е издал решение за налагане на глоба в размер на 150 000 EUR (1,5 милиона NOK) за нарушение на Закона за електронните съобщения, при същите обстоятелства, каквито е разглеждал органът за защита на данните. За да не бъде санкциониран два пъти за едно и също престъпление Telenor Norge AS, Норвежкият орган за защита на данните издава официално предупреждение.

Официалното предупреждение е наказателна мярка, въведена от Общия регламент за защита на данните /GDPR/ и се налага при констатирано нарушение. В случая са нарушени следните разпоредби на Общия регламент за защита на данните:

  • Нарушение на член 32, параграф 1 от ОРЗД, защото не се прилагат подходящи технически и организационни мерки, за да се осигури ниво на сигурност, съответстващо на риска.
  • Нарушение на член 33 от ОРЗД, като не е уведомил органа за защита на данните за нарушението на личните данни.
Можете да споделите: