Kara administracyjna dla Rzecznika ds. Równości za zbieranie danych osobowych za pomocą formularza internetowego
Szwedzki Urząd Ochrony Prywatności (IMY) przeprowadził kontrolę incydentu związanego z danymi osobowymi w Biurze Rzecznika ds. Równości. IMY stwierdził, że Biuro nie zastosowało wystarczająco skutecznych środków bezpieczeństwa, i nałożył karę administracyjną w wysokości 100 tys. koron szwedzkich.
Powodem kontroli było naruszenie ochrony danych osobowych, które Biuro zgłosiło do IMY jesienią 2021 r. Incydent dotyczył formularza internetowego służącego do zbierania zgłoszeń i skarg dotyczących dyskryminacji. W trakcie kontroli ujawniono, że wdrożono środek bezpieczeństwa mający na celu ochronę danych osobowych zbieranych za pomocą formularza, tak aby nie były one uwzględniane w analizach użytkowania strony internetowej.
Jednakże środek ten nie zadziałał zgodnie z założeniami, co doprowadziło do przypadkowego ujawnienia części danych, potencjalnie wrażliwych danych osobowych, podmiotowi przetwarzającemu dane, zatrudnionemu przez Biuro do przeprowadzenia analiz. Szacuje się, że incydent dotyczył ok. 500 zgłoszeń i skarg.
Gdy tylko dowiedziano się o incydencie, formularz internetowy został zamknięty.
„Incydent trwał rok i pokazuje, jak ważne jest ciągłe i systematyczne podejście do kwestii bezpieczeństwa, aby móc wcześniej wykrywać niewystarczające środki ochrony” – powiedział Petter Flink, specjalista ds. IT i bezpieczeństwa informacji w IMY.
Źródło:
Komunikat Szwedzkiego Organu Ochrony Danych
