Датският надзорен орган през този месец откри нарушения в 4 региона заради GDPR

Прегрешенията са от недостатъчна защита на личните данни до липса на оценки на риска за правата на субектите

Датската агенция за защита на данните прецени, че регионът на Южна Дания не се е обезопасил срещу неволно публикуване на лични данни на уебсайта на региона.

Датската агенция за защита на данните е докладвала региона на Южна Дания на полицията, че не е установила достатъчни мерки за сигурност. Регионът не се е уверил, че личната информация по невнимание е публикувана на уебсайта им. Датската агенция за защита на данните определи глоба от 500 000 датски крони.

На 9 март 2020 г. Датската агенция за защита на данните получи доклад за нарушение на сигурността на личните данни от региона на Южна Дания. В известието се посочва, че през май през 2011 г. на уебсайта на региона на Южна Дания са били достъпни презентации на PowerPoint, подготвени за образователни цели в университетската болница в Оденсе, с диаграми, съдържащи лична информация – включително здравна информация и информация за номер на социално осигуряване – около 3 915 пациенти. от основните данни на диаграмата.

Регионът Южна Дания използва инструмент за скрининг за редовно сканиране дали социалноосигурителните номера са били неволно публикувани на уебсайта на региона. Инструментът за скрининг обаче не може да сканира основните данни в презентации на PowerPoint и това е причината регионът да не е спазил изискванията за подходящо ниво на сигурност в Регламента за защита на данните.

В този контекст Датската агенция за защита на данните установи, че регионът на Южна Дания не е установил подходящи мерки за сигурност, така че регионът е в състояние да извърши подходящ контрол на качеството на съдържанието на публикуваните документи.

Неадекватни мерки за безопасност

Във връзка с обработването на делото от Датската агенция за защита на данните, регион Южна Дания заяви, че регионът е използвал споменатия инструмент за скрининг от март 2013 г., за да сканира документи на уебсайта на региона за номера на социално осигуряване, които са публикувани неволно. Инструментът за скрининг не сканира за други видове информация, включително напр. здравна информация.

Регионът на Южна Дания за първи път откри, когато университетски болница в Оденсе се свърза с гражданин за презентацията на PowerPoint през февруари 2020 г., че инструментът за скрининг не е в състояние да намери номера на социално осигуряване в напр. диаграми, лежащи в основата на данни в презентации на PowerPoint.

„За съжаление, редовно виждаме, че властите по невнимание публикуват информация за граждани на уебсайтове. При публикуване на документи, които потенциално биха могли да съдържат лични данни, ние считаме, че органът винаги трябва да отчита уместността на предходните и последващите мерки за контрол.“ Това е цитат от последното решение на датския надзорен орган от 17 септември.

Датската агенция за защита на данните констатира, че регионът на Южна Дания не разполага с достатъчно познания за функционалността на инструмента за скрининг. Освен това регионът не е провеждал непрекъснато подходящ скрининг на файлове за лични данни, публикувани по невнимание. Регионът също така не е проверявал непрекъснато въздействието на мерките за сигурност на региона, свързани със скрининга на файлове, публикувани на уебсайта на региона.

Датската агенция за защита на данните също така прецени, че регионът на Южна Дания трябва да е въвел мерки – технически или организационни – които дават възможност на региона да провери уебсайта на региона за други видове информация, включително напр. здравна информация.

Защо полицейски доклад?

Датската агенция за защита на данните винаги прави конкретна оценка на сериозността на случая съгласно член 83, параграф 1 от Регламента за защита на данните, при преценка коя санкция е, според мнението на Органа, правилната.

Оценявайки, че трябва да бъде наложена глоба, Датската агенция за защита на данните подчерта, че регионът на Южна Дания обработва големи количества лични данни, включително здравна информация – която е от чувствителен характер – и информация за личен идентификационен номер.

Датската агенция за защита на данните подчертава също, че регионът има по -строго задължение да защитава тази информация срещу неволно публикуване или разкриване и че в тази връзка по -специално отговорността е на регионите, които публикуват много документи и големи количества информация, които да извършат подходящ контрол на публикуваните документи и информация.

Глоба за община Фаврсков

Датският орган за защита на данните докладва община Фаврсков на полицията и препоръчва глоба от 75 000 датски крони, тъй като органът оценява, че общината не е спазила изискванията за подходящо ниво на сигурност в Наредбата за защита на данните.

На 19 август 2020 г. Датската агенция за защита на данните получи доклад от община Фаврсков за нарушение на сигурността на личните данни. В доклада се посочва, че преносим компютър – съдържащ програма, която е била използвана за осигуряване на преглед на жилищните ресурси на общината и следователно съдържа информация за имената и номерата на социалното осигуряване на около 100 души с намалено физическо и / или психическо функциониране – е бил откраднат във връзка с взлом в помещенията на общината.

Твърдият диск на този компютър не е бил криптиран и въпросната програма, която съдържа поверителна и чувствителна лична информация, не е подсигурена с мерки за сигурност, които биха могли да регистрират използването на програмата с поверителната и чувствителна лична информация.

По време на разглеждането на случая Датската агенция за защита на данните установява, че за дълъг период преди 12 август 2020 г. община Фаврсков не е гарантирала, че твърдите дискове на лаптопите на общината са криптирани, което води до недостатъчно ниво на сигурност.

Изисквания за адекватна сигурност

Изискванията в член 32 предполагат, че община Фаврсков е длъжна да гарантира, че информацията, обработвана от служителите на общината, не е известна на неоторизирани лица. Позицията на надзорния орган е, че община Фаврсков не е спазила изискванията за подходящо ниво на сигурност в член 32 от Регламента за защита на данните.

Шифроването на лични данни е общоприета мярка за сигурност, дори конкретно посочена като пример за техническа мярка в член 32, параграф 2. 1, буква а.

„Всеки ден общината до голяма степен обработва лична информация от чувствителен характер за гражданите на общината. Като гражданин не можете да се откажете от обработката на личните ви данни от общината. Това означава, че общината има голяма отговорност точно да предотврати предоставянето на информацията на неоторизирани лица “, казва офис мениджърът Фредерик Виксое Сигумфелд и продължава:

„Когато твърдият диск на компютъра не е криптиран, лесно можете да получите достъп до файловете, съхранявани на компютъра – в този случай лична информация. Ето защо е от решаващо значение общините да защитят компютрите с криптиране, а община Фаврсков не го е направила. “

Според цялостна оценка, Датската агенция за защита на данните е на мнение, че община Фаврсков не е приложила подходящи технически мерки за осигуряване на ниво на сигурност, съответстващо на рисковете за правата на субектите на данни, и че това е сериозно нарушение на чл. Регламент за защита на данните.

Датската агенция за защита на данните винаги прави конкретна оценка на сериозността на случая съгласно член 83, параграф 1 от Регламента за защита на данните.

Оценявайки, че трябва да бъде наложена глоба, Датската агенция за защита на данните подчерта, че община Фаврсков не е шифровала твърдите дискове на лаптопите на общината преди 12 август 2020 г. Освен това надзорният орган подчертава, че на въпросния компютър се обработва поверителна и здравна информация за лица с намалено физическо или психическо функциониране и свързани с жилищна оферта.

Община Хелсингёр и случаят Chromebook

Органът за защита на данните е разглежда поредица случаи, свързани с използването на Google Chromebook и G Suite for Education (сега наричани Workspace) в началното училище.

Децата и младите хора имат специална защита в GDPR. Датската агенция за защита на данните обръща допълнително внимание на това, особено когато личните им данни са изложени на обработка, която не могат да избегнат – напр. като част от задължителното образование.

Решението на Датската агенция за защита на данните в конкретния случай на използване на Google Chromebook в община Хелсингьор гласи, че Законът Folkeskole дава на общините правото да избират ИТ оборудването и програмите, които да се използват в преподаването.

Отговорността на общината като администратор на данни е да гарантира, че ИТ оборудването и програмите се използват по такъв начин, че да се спазват правилата за защита на данните. По-специално, че извършените обработвания не надхвърлят целта, предписана от закона. Датската агенция за защита на данните споменава като пример за разкриване на такава цел, където информацията се използва за маркетинг или профилиране на услуги.

В конкретния случай общината не е направила необходимите оценки на риска за правата на субектите на данни.

Органът за защита на данните посочва в решението, че за части от създаването на потребители за Chromebook и използването на G-Suite е необходимо да се конфигурира достъпът до приложенията и начина, по който те работят, за да могат да се използват законно.

Тъй като общината не беше оценила това, общината също няма документация, че конфигурацията е извършена по начин, който отговаря на рисковете за субектите на данни.

Датската агенция за защита на данните установи, че липсващите оценки са довели до няколко нарушения на регламента.

Датската агенция за защита на данните издаде заповед на община Хелсингёр да приведе обработката на информация в съответствие с регламента. Ако общината не може да намали риска от обработката, на общината е наложено ограничение, което означава, че общината не може да обработва въпросната информация след определен срок.

Одитът също така предупреди община Елсинор, че използването на допълнителни продукти за G-Suite не може да бъде обработено законно без оценка на въздействието, където рисковете от третирането са намалени до по-малък от висок риск за правата на субектите на данни и свободи.

Глоба за регион Централна Ютландия

Датската агенция за защита на данните оценява, че регион Централна Ютландия не е установил подходящо ограничение за достъпа до архив в център за лайфстайл.

Датската агенция за защита на данните е докладвала региона на Централна Ютландия на полицията, че не е осигурила достатъчно високо ниво на сигурност около съхранението на регистър на пациентите в архив в Livstilscenter Brædstrup. Датската агенция за защита на данните препоръча глоба от 400 000 датски крони.

На 12 юни 2020 г. Датската агенция за защита на данните получава доклад за нарушение на сигурността на личните данни от Централен регион Ютландия. В доклада се посочва, че всички пациенти и персонал в лайфстайл център са имали достъп до сграда, където са се съхранявали до 100 000 физически пациентски записи, съдържащи напр. здравна информация и информация за номер на социално осигуряване. Освен това е било възможно преминаващите да видят някои от записите през прозорец към сградата.

Неволният достъп се дължи на факта, че карти за достъп, които са раздадени на служителите и пациентите, дават достъп до трите сгради в Livstilscenter Brædstrup, независимо дали потребителят е имал нужда от това.

В тази връзка Датската агенция за защита на данните установи, че регион Централен Ютландия не е установил подходящи мерки за сигурност по отношение на съхранението на лични данни.

Неадекватни мерки за безопасност

Централен регион Ютландия заявява, че неволният достъп е бил в резултат на преместването на архивите в центъра за начин на живот през 2016 г. и че регионът не е извършвал периодични проверки на мерки за физическа сигурност през периода.

Когато докладва за нарушението, районът Централна Ютландия е заявил, че регионът има насоки за това кой има достъп до кои помещения в болницата работи Центърът за начин на живот Brædstrup. Регионът представя няколко версии на една и съща насока, касаеща „лични карти и контрол на достъпа“, която е насока, която не споменава достъпа на пациентите с карти.

Във всички версии ръководството се фокусира върху персонала, включително ученици, студенти и други непостоянни служители. Друго ръководство се фокусира единствено върху насоките при практическото производство на карти, а не в това кои достъпи трябва да се предоставят на различните видове карти.

Като цяло Датската агенция за защита на данните установи, че регион Централен Ютландия не е установил подходящи мерки за физическа сигурност по отношение на съхранението на данните за пациентите, включително че регионът не е установил достатъчни насоки за ограничения на достъпа при производството на карти за достъп и че регионът не е извършил подходящи тестове, оценки и мерки за безопасност.

„Регионите трябва да се грижат добре за голямото количество здравна информация, която обработват, което не са направили в тази ситуация. Че целият персонал и пациентите, които са били в лайфстайл център, са имали достъп до архив от прибл. 100 000 записи на пациенти е сериозна грешка, която трябваше да бъде открита по-рано. Регионът трябваше да има много ясни насоки за кодиране и използване на картите за достъп и редовно да проверява дали контролът на достъпа работи както трябва “, обяснява Фредерик Виксое Зигюмфелдт, офис мениджър в Датската агенция за защита на данните.

Датската агенция за защита на данните винаги прави конкретна оценка на сериозността на случая съгласно член 83, параграф 1 от Регламента за защита на данните. Оценявайки, че трябва да бъде наложена глоба, Датската агенция за защита на данните подчерта, че регионът Централен Ютланд обработва големи количества специфични категории лични данни, включително здравни данни, и по този начин има по-строго задължение да защитава тази информация с достатъчно ограничение на достъп.

Можете да споделите: