Η Νορβηγική Εποπτική Αρχή (Datatilsynet) επέβαλε διοικητικό πρόστιμο ύψους 1,6 εκατομμυρίων νορβηγικών κορώνων ποσό που αντιστοιχεί σε 170.000 ευρώ στο δήμο του Bergen. Το περιστατικό σχετίζεται με αρχεία ηλεκτρονικών υπολογιστών με ονόματα χρηστών και κωδικούς πρόσβασης σε περισσότερους από 35.000 λογαριασμούς χρηστών στο σύστημα υπολογιστών του δήμου. Οι λογαριασμοί χρηστών αφορούν τόσο τους μαθητές των δημοτικών σχολείων του δήμου όσο και τους υπαλλήλους των ίδιων σχολείων. Λόγω ανεπαρκών μέτρων ασφαλείας, τα αρχεία αυτά ήταν «ανοικτά» και προσβάσιμα. Η έλλειψη μέτρων ασφαλείας στο σύστημα επέτρεπε σε οποιονδήποτε να συνδεθεί στα διάφορα πληροφοριακά συστήματα του σχολείου και έτσι να έχει πρόσβαση σε πολλές κατηγορίες προσωπικών δεδομένων που σχετίζονται με τους μαθητές και τους υπαλλήλους των σχολείων.
Ανεπαρκής ασφάλεια δεδομένων
Η Datatilsynet διαπίστωσε ότι η έλλειψη κατάλληλων μέτρων από το δήμο για την προστασία των προσωπικών δεδομένων στα συστήματα αρχείων ηλεκτρονικών υπολογιστών συνιστούσε παραβίαση των άρθρων 5 (1) στ και αρθ. 32 του GDPR. Κατά συνέπεια, η εποπτική αρχή εξέδωσε διοικητική απόφαση, επιβάλλοντας πρόστιμο 170.000 ευρώ στον δήμο. – Η ασφάλεια στο σύστημα σύνδεσης ήταν τόσο χαλαρή, με αποτέλεσμα μη εξουσιοδοτημένα άτομα να έχουν πρόσβαση στα ονόματα χρήστη και τους κωδικούς πρόσβασης στην πλατφόρμα εκμάθησης και στα διοικητικά συστήματα του σχολείου. Το εν λόγω σύστημα περιέχει πληροφορίες σχετικά με το όνομα χρήστη, τον κωδικό πρόσβασης, την ημερομηνία γέννησης, τη διεύθυνση, και τη σχολική βαθμολογία. Όταν οι εργαζόμενοι και οι μαθητές συνδέονταν, μπορούσαν να έχουν πρόσβαση σε διάφορα συστήματα, όπως είναι η κεντρική πλατφόρμα ψηφιακής εκμάθησης, η οποία περιελάμβανε τις σχολικές εργασίες των μαθητών και τις αξιολογήσεις των καθηγητών για την απόδοση κάθε μαθητή στο σχολείο.
Προσωπικά δεδομένα 35.000 ατόμων, κυρίως παιδιών
Το γεγονός ότι η παραβίαση περιλαμβάνει προσωπικά δεδομένα σε περισσότερα από 35.000 άτομα και ότι η πλειονότητα αυτών είναι παιδιά θεωρήθηκε επιβαρυντικός παράγοντας. Ο δήμος είχε επίσης προειδοποιήσει αρκετές φορές, τόσο από την αρχή όσο και από έναν εσωτερικό καταγγέλλοντα, ότι η ασφάλεια των δεδομένων ήταν ανεπαρκής. Στον GDPR, τα παιδιά ορίζονται ως μια ιδιαίτερα ευάλωτη ομάδα στην οποία πρέπει να παρέχεται ειδική προστασία. Είναι σημαντικό οι δήμοι και άλλοι δημόσιοι φορείς που επεξεργάζονται προσωπικά δεδομένα να γνωρίζουν τις ευθύνες τους. Οι δημόσιες αρχές συχνά επεξεργάζονται πληροφορίες σχετικά με εμάς που δεν ελέγχουν, ούτε έχουμε την επιλογή να μάθουμε αν αυτές οι πληροφορίες είναι διαθέσιμες σε άλλους. Θα πρέπει να είμαστε σε θέση να εμπιστευόμαστε τον δημόσιο τομέα. Ο GDPR ορίζει ότι τα διοικητικά πρόστιμα πρέπει να είναι αποτελεσματικά, αποτρεπτικά και αναλογικά και η Datatilsynet είναι της γνώμης ότι το μέγεθος του προστίμου αντικατοπτρίζει αυτές τις προδιαγραφές. Ο νορβηγικός νόμος για τα προσωπικά δεδομένα ορίζει ότι όλες οι νορβηγικές δημόσιες αρχές υπόκεινται στις διατάξεις σχετικά με τα διοικητικά πρόστιμα που προβλέπονται στα άρθρα 13 και 83 του GDPR. Η Datatilsynet εξέδωσε την απόφαση τον Μάρτιο του 2019 και στις 4 Απριλίου 2019 ο δήμος δήλωσε σε συνέντευξη Τύπου ότι δεν επιθυμεί να προσβάλει την απόφαση.