Задават се проблеми за Grindr – норвежките потребители пак се активираха

Продължавам с глобите от Datatilsynet

На 21 януари 2021 г. норвежкият орган за защита на данните обяви глоба от 100 милиона норвежки крони за приложението за запознанства Grindr за нарушаване на изискванията за съгласие в Общия Регламент относно защитата на личните данни (GDPR). След получаване на коментари по уведомлението както от Grindr, така и от Съвета на потребителите, надзорният орган съобщи, че случаят е приоритетен за него. Предстои оценка на коментарите и аргументите, преди делото да приключи.

Grindr е приложение за запознанства на база местоположение за гейове, бисексуални, транссексуални и други.

През януари 2020 г. Съветът на потребителите се оплака пред норвежкия орган за защита на данните. Основанието на жалбата беше, че Grindr разкрива GPS местоположение, информация от потребителските профили, както и факта, че въпросното лице е потребител на Grindr, на няколко трети страни за маркетингови цели. Трети страни могат потенциално да споделят тези данни допълнително.

В съобщение за пресата Съветът на потребителите предлага мерки срещу приложението за запознанства (consumerradet.no). Те искат от компанията да изтрива незаконно събраната лична информация.

Предварителното заключение на надзорния орган по случая е, че Grindr е разкрил лична информация за потребителите на редица трети страни без правно основание и е бил уведомен за глобата.

Разказах за случая под заглавие Норвежкият орган за защита на данните има намерение да наложи на Grindr глоба от почти 10 милиона евро.

През 2020 г. Норвежкият потребителски съвет разкри колко приложения събират и споделят големи количества чувствителна информация без знанието на потребителите. Въз основа на тези констатации Съветът на потребителите подаде правни жалби, заедно с noyb, Европейския център за цифрови права, срещу приложението за запознанства Grindr и пет търговски партньори за нарушения на Общия регламент за защита на данните (GDPR).

Норвежката DPA глобява Cyberbook AS

Норвежкият орган за защита на данните глоби Cyberbook AS 20 000 EUR (200 000 NOK) за незаконно създаване на автоматично препращане на имейли на бивш служител.

Разследването започва след жалба, подадена от бивш служител на Cyberbook. Лицето открило, че компанията е активирала автоматично препращане на личния му имейл адрес във фирмата.

Това препращане остава активно няколко месеца, без бившият служител да бъде информиран за това.

След като разглежда въпроса, органът за защита на данните установява, че препращането е в нарушение на националните разпоредби относно достъпа на работодателя до пощенските кутии и друга електронна информация.

Освен това установява, че организацията е нарушила изискванията на Общия регламент относно защита на данните по отношение на правното основание, информирането на субекта на данните и задължението да разгледа възраженията на служителя, както и разпоредбите относно изтриването на личните данни.

На тази основа Органът за защита на данните е разпоредил на организацията да прилага писмени процедури за достъп до електронните пощенски кутии на служители и бивши служители и е издал глоба в размер на 20 000 евро за незаконно препращане.

Cyberbook има три седмици за обжалване, считано от датата, на която са получили известие за решението.

Норвежката DPA глобява Gveik AS

Норвежкият орган за защита на данните глоби Gveik AS 7 500 EUR (75 000 NOK) за даване на кредитен рейтинг без правно основание.

Лице, което не е свързано с клиенти или на друго основание с Gveik AS, е получило известие и е разбрало, че компанията е изготвила кредитен рейтинг. Лицето подава жалба до надзорния орган за защита на данните.

Общият регламент за защита на данните (GDPR) изисква всяко обработване на лични данни да има правно основание. В този случай целта на изготвянето на кредитния рейтинг е била лична и е извън бизнес интересите на организацията. Надзорният орган определя този тип дела като сериозни и обикновено издава глоби за такива нарушения.

Gveik AS може да обжалва глобата в определения срок.

Норвежката DPA глобява Lindstrand Trading AS

Норвежкият орган за защита на данните миналата година реши да глоби 10 000 EUR (100 000 NOK) Lindstrand Trading AS за общо четири кредитни рейтинга на физически лица и еднолични търговски дружества без правно основание.

Глобата е издадена в отговор на жалба, подадена от лице, което е открило, че е било оценявано, без да има каквато и да е форма на взаимоотношения с клиенти или друга връзка с Lindstrand Trading.

Общият регламент за защита на данните изисква всяко обработване на лични данни да има правно основание. Кредитните рейтинги са вид лични данни, подлежащи на специална защита.

„Тъй като кредитният рейтинг включва подробна информация за личното финансово състояние на човек, се чувства много неприятно, когато организация незаконно получи достъп до тази информация“, казва Бьорн Ерик Тон, генерален директор на Норвежкия орган за защита на данните.

Кредитните рейтинги на еднолично дружество също се считат за лични данни, тъй като този тип бизнес предприятия са пряко свързани със собственика и по този начин и с личното му състояние. Това означава, че е необходимо правно основание, за да може едноличните търговски дружества да бъдат оценявани.

Кредитният рейтинг събира лични данни от много различни източници и изчислява колко е вероятно човек да може да плати това, което дължи. Кредитният рейтинг включва и подробна информация относно личното финансово състояние на физическите лица, като неизпълнение на плащания, съотношение дълг и доход и дали лицето има ипотеки.

Органът за защита на данните установява, че тези кредитни рейтинги са за лични цели, напълно изключени от бизнес дейностите на организацията. Въз основа на това е направен изводът, че кредитните рейтинги са направени без правно основание, като по този начин представляват нарушение на разпоредбите на Общия регламент за защита на данните.

„Получаваме много жалби относно кредитните рейтинги и виждаме, че много организации нямат достатъчно познания за приложимите правила. Този тип дела са сериозни престъпления и ние обикновено издаваме глоби за такива нарушения “, заключава Бьорн Ерик Тон.

Lindstrand Trading AS обжалва глобата.

Норвежкият DPA налага административна глоба на болница Østfold HF

Норвежкият орган за защита на данните е взел решение за административна санкция от 750 000 NOK за болница Østfold HF. Предисторията е, че в периода 2013-2019 г. в болницата са съхранявани извлечения от досиета на пациенти извън безопасната зона. Случаят започва с известие за нарушение на личните данни от болницата.

Папките, в които се съхраняват извлеченията, не са прибрани и достъпът до тях не се регистрира. Извлеченията от отчети също се съхраняват дълго след като списъците вече не са необходими. Юристи от надзорния орган казват, че такова съхранение на здравна информация за дълъг период от време показва недостатъци във вътрешната система за управление.

Извлеченията представляват списъци с пациенти, готови за изписване (RfD списък) и включват специални категории лични данни (чувствителна информация за пациента). Списъците са 3 – актуализиран RfD списък, който включва приблизително 25-30 пациенти; RfD списък от 2013 до 2019 г. с 13 800 пациенти и 26 596 изписвания и два списъка с национален идентификационен номер и причина за прием, с около 30 пациенти.

Личната информация в списъците включва демографска информация и име, дата на раждане, община, принадлежност към отдел и всякаква информация за улесняване при прехвърляне на пациент. Два от списъците съдържат национален идентификационен номер и причина за допускане.

Не е имало контрол на достъпа до района и папките, където са били съхранявани извлеченията от отчета, и не е регистриран достъп до информацията. Личната информация е била достъпна за 118 служители в болница Østfold HF, като повечето не са имали официална и оправдана нужда от такъв достъп.

Норвежкият орган за защита на данните счита, че Østfold HF Hospital не е създала система за контрол на достъпа, която да е достатъчна, за да предотврати появата на подобни нарушения в бъдеще. Системата за управление трябва да включва проследяване на спазването, което също означава да се гарантира, че при обработката на чувствителни лични данни се използват само сигурни системи.

Можете да споделите: