Norge: Lillestrøms kommun bötfälls med 300 000 norska kronor för brott mot GDPR:s krav på sekretess

Datatilsynet har bötfällt Lillestrøms kommun med 300 000 norska kronor för överträdelse av artikel 32.1 (b) i dataskyddsförordningen (GDPR).

Av beslutet framgår att Lillestrøms kommun publicerat ett dokument i sin offentliga posttidskrift där 10 av 21 bilagor innehöll känsliga personuppgifter enligt artikel 9 GDPR. Kommunen glömde att markera de 10 relevanta bilagorna med sekretess. Detta upptäcktes inte av handläggaren och handlingen gick igenom ytterligare två manuella kvalitetskontroller i dokumentationscentralen utan att felet upptäcktes. Lillestrøms kommun fick kännedom om att handlingen med bilagor gjorts tillgänglig på kommunens webbplats den 27 september 2021 av en journalist.

Den 29 september 2021 fick Datatilsynet en anmälan om en inträffad personuppgiftsincident från Lillestrøms kommun. Datatilsynets utredning visade att fyra olika ip-adresser (inklusive Romerikes Blad) tagit del av dokumentet. Handlingarna togs bort från e-postlistan och markerades med sekretess direkt efter att händelsen upptäckts. De drabbade underrättades om händelsen.

Datatilsynets bedömning är att när ett dokument med bilaga om en elev publiceras på kommunens hemsida är det tydligt att en tillräckligt bra säkerhetsnivå inte har fastställts, eller att särkerhetsåtgärderna inte fungerar som det är tänkt. Att händelsen inte upptäcks av kommunen, utan av tredje part, tyder också på bristfälliga rutiner på området. Personuppgifter som borde ha skyddats har enligt Datatilsynet gjorts tillgängliga för obehöriga på internet och gäller uppgifter om till exempel elevers namn, födelsedatum, provsvar, bedömningar av beteende och utmaningar samt eventuella diagnoser. Enligt Datatilsynet innebär incidenten ett brott mot artikel 32.1 (b) GDPR , som kräver upprättande av en säkerhetsnivå som är lämplig för att säkerställa fortsatt sekretess.

Datatilsynet har tidigare skickat ett meddelande till Lillestrøms kommun avseende sanktionsavgiften på 500 000 norska kronor. Av kommunens svar på sanktionsavgiften framgår att kommunen har rutiner, och att händelsen beror på ett mänskligt misstag. Datatilsynet har uppmärksammat detta vilket resulterat i att sanktionsavgiften sänkts från 500 000 norska kronor till 300 000 norska kronor.

Mer information

Myndighet: Datatilsynet

Land: Norge

Lagrum: Art. 9 GDPR. art. 32 GDPR

Sanktionsavgift: 300 000 norska kronor

Mottagare: Lillestrøms kommun

Beslutsnummer: N/A

Beslutsdatum: 2022-05-05

Källa: Pressmeddelande

Relaterade nyheter

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Gå kurs med oss

03 OKT

Artificiell intelligens & personuppgifter

En genomgång av de viktigaste reglerna för artificiell intelligens ur ett dataskyddsperspektiv.

05 OKT

NIS 2-direktivet – Cybersäkerhet i praktiken

En genomgång av de viktigaste reglerna i NIS2-direktivet och kompletterande svensk lagstiftning.

07 MAR

Molntjänster & tredjelandsöverföringar

En genomgång av de viktigaste reglerna för tredjelandsöverföringar vid användning av molntjänster enligt GDPR.