Fyrstu sektarákvarðanir Persónuverndar birtar

Fyrstu sektarákvarðanir Persónuverndar birtar

LOGOS sendi í gær út fréttabréf á sviði persónuverndar í tengslum við fyrstu ákvarðanir Persónuverndar um að beita sektarheimild 46. gr. persónuverndarlaganna. 

Fréttabréfið má lesa hér fyrir neðan. Bendum einnig áhugasömum á að skrá sig á póstlista LOGOS  um persónuverndarmál.

Fyrstu sektarákvarðanir Persónuverndar birtar í dag

Persónuvernd birti í dag tvær sektarákvarðanir, en um er að ræða fyrstu ákvarðanir stofnunarinnar þar sem stjórnvaldssektarheimild 46. gr. persónuverndarlaganna er nýtt. Ákvarðanirnar eiga það sameiginlegt að þær varða báðar skort á fullnægjandi öryggisráðstöfunum sem upp komst um í kjölfar öryggisbresta hlutaðeigandi aðila.

Það kemur e.t.v. ekki á óvart að fyrstu sektirnar hér á landi varði skort á fullnægjandi öryggisráðstöfunum. Frá gildistöku persónuverndarreglugerðarinnar í maí 2018 hafa 123 sektarákvarðanir verið teknar af evrópskum persónuverndaryfirvöldum. Af þeim er 51 ákvörðun sem varðar skort á fullnægjandi öryggisráðstöfunum og hæstu sektirnar varða jafnframt slík brot.

Þær sektir sem Persónuvernd lagði með ákvörðunum sínum sem birtar voru í dag eru annars vegar að fjárhæð 3.000.000 krónur og hins vegar að fjárhæð 1.300.000 krónur. Hærri sektin var lögð á S.Á.Á., en sú lægri á Fjölbrautaskólann í Breiðholti.

Öryggisbrestur hjá S.Á.Á. varð með þeim hætti að starfsmaður sem hætti þar störfum árið áður en tilkynnt var um brestinn, fékk við afhendingu á kössum sem áttu að innihalda persónuleg gögn hans, jafnframt verulegt magn upplýsinga um sjúklinga. Þar á meðal voru innritunarbækur með nöfnum um 3.000 sjúklinga og ítarlegar sjúkraskrárupplýsingar um 252 einstaklinga. Í gögnunum var m.a. að finna ítarleg gögn s.s. minnispunkta meðferðarðaðila úr viðtölum við sjúklinga, þar sem m.a. eru skráð atriði er varða heilsufar og refsiverða háttsemi. Persónuvernd taldi því að um væri að ræða vinnslu á viðkvæmum persónuupplýsingum, yfir langt tímabil, sem vörðuðu verulegan fjölda sjúklinga, sem og aðstandendur þeirra.

Í tilfelli Fjölbrautaskólans í Breiðholti varð öryggisbrestur þegar kennari við skólann sendi tölvupóst á nýja umsjónarnemendur sína og forráðamenn þeirra, alls 57 einstaklinga, en með tölvupóstinum sendi hann jafnframt viðhengi sem hann taldi vera skjal sem innihéldi yfirlit yfir viðtalstíma. Fyrir mistök sendi kennarinn rangt viðhengi með tölvupóstinum en það viðhengi innihélt upplýsingar um viðtöl sem höfðu verið tekin við umsjónarnemendur frá fyrri önn. Í skjalinu voru m.a. viðkvæmar persónuupplýsingar er vörðuðu umsjónarnemendur viðkomandi kennara frá fyrra ári. Í skjalinu var vikið að líðan nemendanna, námsárangri þeirra og félagslegum aðstæðum, en einnig var í afmörkuðum tilvikum vikið að afskiptum barnaverndaryfirvalda og andlegri sem og líkamlegri heilsu nemenda.

Báðir öryggisbrestir voru tilkynntir Persónuvernd með fullnægjandi hætti, en það var mat Persónuverndar að hvorki S.Á.Á. né Fjölbrautaskólinn í Breiðholti höfðu tryggt nægilega vel að persónuupplýsingar skjólstæðinga og nemenda, eftir atvikum, kæmu ekki fyrir augu óviðkomandi aðila. Þannig höfðu fullnægjandi öryggisráðstafanir geta komið í veg fyrir umrædda öryggisbresti. Komst Persónuvernd að þeirri niðurstöðu að framangreindir ábyrgðaraðilar hefðu gerst brotlegir við meginreglur persónuverndarlaganna um öryggi, sem og almenn ákvæði laganna um öryggi persónuupplýsinga og innbyggða og sjálfgefna persónuvernd.

Við mat á sektarfjárhæð var litið til 1. mgr. 47. gr. persónuverndarlaganna, en þar eru talin upp atriði sem ýmist geta verið hlutaðeigandi til málsbóta eða honum í óhag. Í báðum ákvörðunum er m.a. vísað til þess, aðilum til málsbóta, að þeir höfðu báðir lagt í umbótavinnu á sviði persónuverndar, þó mismikla.

Sektarákvarðanir þessar sýna hversu mikilvægt það er að fyrirtæki og stofnanir grípi til fullnægjandi öryggisráðstafana, hafi til staðar skýrt verklag þegar kemur að öryggisbrestum og geri persónuvernd hluta af menningunni á sínum vinnustað. Eru félög sem starfa í þágu almannaheilla og almannaþjónustu engin undantekning þar á.

Óskir þú eftir aðstoð eða nánari upplýsingum um ofangreint vinsamlegast hafðu samband við Áslaugu Björgvinsdóttur eða Hjördísi Halldórsdóttur, meðeigendur á LOGOS og sérfræðinga í persónuvernd.