Na stronie internetowej Norweskiego Organu Nadzorczego pojawiła się informacja o nałożeniu kary pieniężnej w wysokości 170 000 euro na miasto Bergen, za nienależyte zabezpieczenie nazw użytkownika oraz haseł.
Treść informacji w języku angielskim, której tłumaczenie znajduje się poniżej, jest dostępna tutaj: https://www.datatilsynet.no/en/about-privacy/reports-on-specific-subjects/administrative-fine-of-170.000–imposed-on-bergen-municipality/.
Norweski Organ Nadzorczy nałożył administracyjną karę pieniężną w wysokości 1,6 miliona koron norweskich, stanowiącą równowartość 170 000 euro na miasto Bergen.
Incydent dotyczy plików komputerowych zawierających nazwy użytkownika oraz hasła ponad 35 000 kont użytkowników systemu komputerowego miasta. Konta użytkowników dotyczyły uczniów miejskich szkół podstawowych oraz pracowników tych szkół. Na skutek niewystarczających środków ochronnych, pliki te nie były chronione oraz były otwarcie dostępne. Brak środków ochronnych w systemie umożliwiał każdej osobie zalogowanie się do różnych systemów informatycznych szkoły oraz uzyskanie w ten sposób dostępu do różnych kategorii danych osobowych uczniów oraz pracowników szkoły.
Nieodpowiednie zabezpieczenie danych
Datailsynet ustalił, że brak posiadania przez miasto odpowiednich środków ochrony danych w systemie plików komputerowych stanowi naruszenie zarówno art. 5 (1) f) jak i art. 32 RODO. W związku z tym organ nadzorczy wydał decyzję administracyjną, którą nałożono karę w wysokości 170 000 Euro na miasto.
Jak powiedział dyrektor, Pan Bjørn Erik Thon – zabezpieczenia w systemie logowania były tak słabe, że nieupoważniona osoba mogła uzyskać dostęp do nazw użytkowników oraz haseł na platformach szkoleniowych oraz w systemach administracyjnych szkoły.
Omawiany system zawiera informacje na temat nazwy użytkownika, hasło, datę urodzenia, adres, przynależność do danej szkoły oraz klasę. Pracownicy oraz uczniowie uzyskiwali dostęp do różnych systemów po zalogowaniu, np. do centralnej cyfrowej platformy szkoleniowej, która zawierała prace szkolne uczniów oraz ocenę wyników każdego indywidualnego ucznia, przygotowaną przez nauczycieli.
Dane osobowe 35 000 osób, głównie dzieci
Fakt, że naruszenie ochrony danych dotyczyło danych osobowych ponad 35 000 uczniów, a ich większość stanowiły dzieci, zostało uznane za czynnik obciążający. Miasto zostało również kilka razy ostrzeżone, zarówno przez instytucję jak i osobę z wewnątrz, która poinformowała o nieprawidłowościach, że zabezpieczenie danych było nieodpowiednie.
Dyrektor, Pan Bjørn Erik Thon powiedział – RODO definiuje dzieci jako szczególnie wrażliwą grupę, której powinna zostać zapewniona szczególna ochrona. Ważne jest, aby miasta oraz inne instytucje publiczne, które przetwarzają dane osobowe były świadome swoich obowiązków. Instytucje publiczne często przetwarzają informacje na nasz temat, których nie możemy kontrolować, jak również nie możemy zdecydować czy informacje te są upubliczniane czy nie. Musimy być w stanie zaufać sektorowi publicznemu.
RODO stanowi, że administracyjne kary pieniężne muszą być skuteczne, odstraszające oraz proporcjonalne i Datatilsynet uważa, że wymiar kary to odzwierciedla. Norweska ustawa o ochronie danych stanowi, że wszystkie norweskie instytucje publiczne podlegają przepisom o administracyjnych karach pieniężnych, ustanowionych w art. 83 RODO.
Datatilsynet wydał decyzję w marcu 2019 r. ,a 4 kwietnia miasto oświadczyło na konferencji prasowej, że nie chce odwoływać się od decyzji.
Polecamy także: