Глоба за шведска полиция, използвала без разрешение приложение за лицево разпознаване

Университет сканира протоколи от разследване за сексуални престъпления и ги качва в облак, затова е глобен 550 000 шведски крони

Няколко разследвания на шведският орган за защита на личните данни (IMY):

Полицията използва приложение за разпознаване на лица незаконно

Шведският орган за защита на поверителността установява, че полицаи използват приложението Clearview AI за идентифициране на лица.

След публикации в медиите заради IMY започва разследване, коетопотвърждава, че Cleaview AI е бил използван от полицията няколко пъти. Според полицията няколко служители са използвали приложението без предварително разрешение.

IMY заключава, че полицията не е изпълнила задълженията си като администратор на данни в по отношение на използването на Clearview AI. Полицията не е осъществила достатъчно организационни мерки, за да гарантира и може да докаже, че обработването на лични данни в този случай е извършено в съответствие с Закона. Когато използва Clearview AI, полицията е обработила незаконно биометрични данни за разпознаване на лица, както и не е извършила оценка на въздействието върху защитата на данните, която този случай на обработка изисква.

Има ясно определени правила и разпоредби за това как полицейският орган може да обработва лични данни, особено за целите на правоприлагането. Отговорността на полицията е да гарантира, че служителите са запознати с тези правила, казва Елена Мацоти Палард, юрисконсулт в IMY.

IMY налага административна глоба в размер на 2 500 000 шведски крони (приблизително 250 000 евро) на полицейския орган за нарушения на Закона за наказателните данни. IMY също така нарежда на полицията да провежда допълнително обучение на своите служители, за да се избегне всякаква обработка на лични данни в бъдеще в нарушение на правилата и разпоредбите за защита на данните.

Освен това на полицията се нарежда да информира субектите на данни, чиито данни са разкрити на Clearview AI. И накрая, на полицията се нарежда да изтрие всички лични данни, прехвърлени на Clearview AI.

 

300 000 SEK глоба на жилищна компания

Шведският орган за защита на данните е издал решение за налагане на административна глоба от 300 000 шведски крони срещу жилищна компания за незаконно видеонаблюдение в жилищна сграда.

Шведският орган за защита на данните, вече наричан Integritetsskyddsmyndigheten – IMY, получава жалба относно видеонаблюдение в жилищен блок, принадлежащ на жилищната компания Uppsalahem. Жалбоподателят твърди, че в камера за наблюдение е насочена към входната врата на жалбоподателя.

Одитът на IMY показва, че жилищната компания е поставила камера за наблюдение съммястото, където живее жалбоподателят. Зоната за наблюдение на камерата ясно покрива две врати на апартамента, едната от които е на жалбоподателя, а другата на жител, който е бил обект на безпокойство и тормоз.

Жилищната компания заявява, че целта на видеонаблюдението е да разреши конфликти.

„Начинът, по който беше създадено видеонаблюдението, в приземния етаж на имота, остави всички жители на къщата подлежащи на наблюдение по пътя към и от съответния им дом. Това е особено вярно за жалбоподателя и най-близкия съсед, тъй като техните входни врати са толкова ясно включени в зоната за наблюдение на видеонаблюдението. Дори ако компанията е имала легитимен интерес за видеонаблюдение, това е накърнява правото на личен живот на жителите “, казва Густав Линдер, юрисконсулт в IMY.

В решението си шведският орган за защита на данните заключава, че въпросното видеонаблюдение, наблюдението на лица в домашната им среда е особено чувствително към поверителността. По тази причина IMY налага глоба от 300 000 шведски крони на жилищното дружество.

Жилищната компания е прекратила въпросното видеонаблюдение.

 

Университетът не успя да защити достатъчно чувствителни лични данни

Университетът в Умео обработва специални категории лични данни относно сексуалния живот и здравето, наред с другото, чрез съхранение в облачна услуга, без да защитава в достатъчна степен данните. Затова шведският орган за защита на данните налага глоба от 550 000 шведски крони срещу университета.

Шведският орган за защита на данните, сега наричан Integritetsskyddsmyndigheten (IMY), приключи одит на университета в Умео, като заключи, че университетът е нарушил Общия регламент относно защита на данните, обработвайки специални категории лични данни, без да прилага подходящи технически и организационни мерки за защита на данните.

Изследователска група в университета е поискала от полицията предварителни доклади за разследване на случаи на мъжки изнасилвания и след получаване на такива доклади е започнала да ги сканира и съхранява цифрово. Докладите съдържаха информация за, наред с други неща, подозрения за престъпление, име, личен номер и данни за контакт, както и чувствителни данни за сексуалния живот и здравето.

Разследването на шведския орган за защита на данните показва, че изследователската група е съхранявала над сто сканирани предварителни доклада за разследване в американска облачна услуга, въпреки че Университетът е информирал чрез интранета си, че специални категории данни не трябва да се съхраняват във въпросната облачна услуга.

– Облачната услуга и начинът, по който университетът я използва, не осигуряват достатъчна защита за този тип лични данни, казва Линда Хамиди, която е ръководила одита на шведския орган за защита на данните.

Когато изследователската група изпраща имейл до полицията с искане за допълнителна информация, един от сканираните доклади е приложен като справка, практика, която по-късно изследователската група повтаря, въпреки че полицията посочва, че чувствителни материали не трябва да се изпращат в нешифровани имейли.

– Тези събития показват, че университетът не е предприел необходимите мерки, за да осигури ниво на сигурност, подходящо по отношение на риска.

Шведският орган за защита на данните също критикува университета, че не е съобщил за инцидента като нарушение на личните данни. От 25 май 2018 г. организациите са длъжни да докладват на шведския орган за защита на личните данни.

– Администраторът е длъжен да уведоми IMY за нарушенията на данни и освен това да представи какво е направено за смекчаване на последиците от инцидента и за предотвратяване на подобни инциденти в бъдеще.

Цялостната оценка на сключените нарушения води до издаване на административна глоба от 550 000 шведски крони срещу университета.

 

Недостатъчен контрол на достъпа до данни от дневниците на пациентите

Шведският орган за защита на данните е извършил одит на осем доставчици на здравни грижи за това как те управляват и ограничават достъпа на персонала до основните системи за електронни здравни досиета. DPA откри недостатъци, които в седем от осемте случая водят до административни глоби до 30 милиона шведски крони.

Шведският орган за защита на данните приключи прегледа на осем доставчици на здравни услуги. Изследвано е преди всичко дали доставчиците на здравни услуги са извършили анализ на нуждите и риска, необходими, за да предоставят адекватно разрешение за достъп до лични данни в електронните здравни досиета.

– Доставчиците на здравни услуги трябва да извършат задълбочен анализ и оценка на необходимостта на персонала от достъп до информация в здравните досиета и рисковете, които включва достъпът до данните за пациентите, съгласно шведския Закон за данните за пациентите, който допълва GDPR. Без такъв анализ доставчиците на здравни услуги не могат да възложат на персонала правилно ниво на разрешение, което от своя страна означава, че организациите не могат да гарантират правото на пациентите на защита на неприкосновеността на личния живот “, казва Магнус Бергстрьом, координатор на осемте одита.

Шведският орган за защита на данните отбелязва, че седем от доставчиците на здравни услуги не са извършили анализ на нуждите и риска, докато един доставчик на грижи е извършил анализ, който обаче включва някои недостатъци.

Органът стига до заключението, че седем от доставчиците на здравни услуги не ограничават разрешението на потребителите до съответната система от дневници за пациенти до строго необходимото за изпълнението на техните задачи.

– Това означава, че седемте доставчици на здравни услуги не са предприели подходящи мерки, за да гарантират и могат да демонстрират достатъчно ниво на сигурност на личните данни в електронните системи за здравни досиета.

Недостатъците на седем доставчици на здравни услуги са толкова сериозни, че водят до административни глоби между 2,5 и 30 милиона шведски крони. Изчисляването на размера на глобата се различава значително в зависимост от това дали е частна компания или публичен орган. За компаниите максималната глоба е 20 милиона евро или четири процента от глобалния годишен оборот на компанията, което от двете е най-високо. За властите в Швеция максималната глоба е 10 милиона шведски крони.

Шведският орган за защита на данните е разработил насоки, които обобщават заключенията от одитите по отношение на задължението за извършване на анализи на нуждите и риска.

– Това ръководство посочва значението на доставчиците на здравни услуги, които гарантират, че се извършват анализи на нуждите и риска. Целта е да се помогне на доставчиците на грижи при провеждането на такива анализи, които трябва да се извършат, преди да бъде дадено разрешение за достъп в системата за здравна документация.

Надяваме се сега, че всички доставчици на здравни услуги в страната използват тези насоки в своята работа, за да гарантират, че разрешението е направено правилно, за да гарантира на пациентите защитата на поверителността, на която имат право, казва Магнус Бергстрьом.

 

GDPR глоба за незаконно видеонаблюдение в LSS жилище

Шведският орган за защита на данните издава административна глоба от 200 000 шведски крони срещу община Gnosjö за незаконно видеонаблюдение в жилище на LSS.

Шведският орган за защита на данните – Integritetsskyddsmyndigheten (IMY), получава жалба от роднина на жител на дом за домашни грижи за лица с определени функционални увреждания (така наречените LSS жилища) в община Gnosjö, в която се твърди, че жителят е наблюдаван незаконно.

Органът инициира одит на жилището на LSS и заключава, че въпросният жител наистина е бил наблюдаван в спалнята в нарушение на Общия регламент относно защита на данните, GDPR, и шведския Закон за видеонаблюдение.

„Жителят е наблюдаван в най-частната сфера на дома, което доведе до тежка и неоправдана намеса в правото на личните данни“, казва Жанет Блад Густафсон, адвокат в звеното за видеонаблюдение на Шведския орган за защита на данните.

Комитетът за социални грижи в Gnosjö, който отговаря за жилищата на LSS, заявява, че профилът на болестта на човека създава големи трудности както за самия него, така и за персонала и че възникват ситуации, при които съществува риск за живота и здравето на обитателя. Имало е и ситуации, при които персоналът е претърпял наранявания.

Шведският орган за защита на данните споделя оценката на Социалния комитет, че е необходимо да се вземат мерки за управление и подобряване на ситуацията.

– Въпреки това трябва да е възможно корпусът на LSS да постигне същите цели като тези, за които е било извършено видеонаблюдението с по-ненатрапчиви за поверителността средства.

В решението си шведският орган за защита на данните заключава, че няма правно основание за видеонаблюдението, че не е извършена оценка на въздействието преди започване на видеонаблюдението и че администраторът не е успял ясно да информира за видеонаблюдението.

Поради тези причини шведският орган за защита на данните издава административна глоба от 200 000 шведски крони срещу Комитета за социални грижи.

Можете да споделите: