L’autorità norvegese per la protezione dei dati ha sanzionato il comune di Asker una penale di un milione di corone. La tariffa viene corrisposta dopo che il comune ha pubblicato informazioni personali riservate, data di nascita numeri e numeri di previdenza sociale sul proprio sito web.
Le discrepanza riguardano violazioni dei requisiti di riservatezza del regolamento sulla protezione dei dati personali e includono sia guasti di routine che guasti tecnici. Le informazioni personali che avrebbero dovuto essere protette sono state rese disponibili a persone non autorizzate sul sito web del comune.
Sfondo del caso
Il 19 maggio 2020 un privato ha notificato al comune che i titoli dei documenti dalle mailing list del comune contenevano 127 nomi e numeri di previdenza sociale per un totale di 170 voci di diario. Le informazioni disponibili erano il titolo del documento, nonché il nome e il numero di previdenza sociale.
Molti dei casi riguardavano bambini. In alcuni casi, ciò ha significato che sono state pubblicate anche informazioni riservate, ad esempio in relazione a decisioni su PPT, istruzione speciale e sussidi per la casa. Il documento stesso non è stato pubblicamente disponibile. I titoli dei documenti dei casi citati sono stati immediatamente rimossi dal sito web del comune.
Perde il controllo di chi ha visto cosa
Le informazioni personali coperte dalla violazione sono il nome, il numero di previdenza sociale e il titolo del documento. Le informazioni sono disponibili sul sito web del comune da un anno. Non vi è alcun registro di chi è presente e vede o scarica le informazioni personali dalla mailing list del comune.
La violazione della sicurezza dei dati personali ha portato le persone a perdere il controllo delle informazioni su se stesse e altri potrebbero aver visto le informazioni su di loro.
Il comune ha emesso un comunicato stampa sul caso e accetta l’onorario. Tuttavia, sottolineano che la lettera di decisione dell’ispettorato dei dati contiene errori di fatto (compreso il numero di anni sul sito web) e che il comune aveva attuato una serie di misure che non erano state menzionate. L’Ispettorato dei dati ne prende atto e si scusa, ma l’ammontare della tariffa viene mantenuto.
L’autorità pensa sia stato positivo che il comune abbia agito e abbia implementato misure.