Hemos adoptado una tasa de infracción de NOK 250.000 para el municipio de Grue por incumplimiento de los requisitos de la Ordenanza de protección personal . La decisión se produce después de que se notificara a la Autoridad Noruega de Protección de Datos sobre una violación de la confidencialidad en los registros postales del municipio.
La información personal que debería haber sido protegida se puso a disposición de personas no autorizadas en el registro postal público del municipio. Se trata de un incumplimiento del deber del municipio de garantizar una seguridad adecuada de conformidad con el Reglamento de protección de datos personales.
Además, creemos que el municipio incumplió los requisitos de base jurídica del Reglamento de protección de datos personales al publicar información confidencial en el registro postal. La Autoridad Danesa de Protección de Datos se toma en serio la publicación de información confidencial y confidencial en Internet.
Antecedentes del caso
En febrero de 2024, la Autoridad Noruega de Protección de Datos recibió una notificación de una violación de la seguridad de los datos personales por parte del municipio de Grue. Según el informe, el municipio tuvo conocimiento de que había dos entradas en el registro postal público que contenían datos personales sensibles . Resultó ser información sobre las llamadas decisiones 9A según la Ley de Educación, que son decisiones individuales sobre el derecho de los alumnos a un entorno escolar seguro. Estos documentos revelaron los nombres de los alumnos, fecha de nacimiento, número de seguro social e información y justificación de las decisiones 9A. Además, se hicieron públicos los números de teléfono y direcciones de los padres.
Después de una revisión más detallada del registro postal hasta 2020, se descubrieron otras ocho discrepancias . El municipio informa que estas desviaciones incluyen números de seguro social o números de cuenta que aparecen en diversos documentos de solicitud. En un caso, el municipio recibió una carta de la policía en la que aparece un nombre en un caso penal.
En total, hay 14 alumnos y sus padres, además de otros ocho alumnos matriculados.
Debe ser eficaz y disuasorio.
La Autoridad Danesa de Protección de Datos está segura de que el municipio de Grue informó de la violación a la Autoridad Danesa de Protección de Datos poco después de tener conocimiento de ella, y de que informaron a las personas afectadas sobre las violaciones. El municipio también inició un amplio trabajo de control y medidas para prevenir incidentes similares en el futuro.
Las tasas por infracción deben ser efectivas, proporcionales a la infracción y tener un efecto disuasorio. En septiembre enviamos un aviso de decisión al municipio. En la decisión final hemos tenido en cuenta los comentarios del municipio y creemos que la consideración del tamaño y la situación financiera del municipio justifica un ajuste a la baja de la tasa de infracción notificada.
https://www.datatilsynet.no/aktuelt/aktuelle-nyheter-2024/overtredelsesgebyr-til-grue-kommune