罚款:于默奥大学未能充分保护敏感的个人数据

2020-12-16 06:44:54

于默奥大学在没有充分保护数据的情况下,通过存储在云服务中来处理与性生活和健康有关的特殊类别的个人数据。因此,瑞典数据保护局将对该大学处以550,000瑞典克朗的罚款。

瑞典数据保护局现已完成对Umeå大学的审核,认为该大学违反了《通用数据保护条例》,在不采取适当的技术和组织措施保护数据的情况下处理特殊类别的个人数据。

该大学的一个研究小组已向警察要求提供有关男性强奸案的初步调查报告,并在收到此类报告后,对其进行数字扫描和存储。这些报告包含有关犯罪嫌疑,姓名,个人身份号码和联系方式等信息,以及有关性生活和健康的敏感数据。

瑞典数据保护局的调查显示,尽管大学已通过其内部网告知特殊类别的数据不应存储在所讨论的云服务中,但该研究小组仍在美国云服务中存储了一百多个扫描的初步调查报告。

瑞典数据保护局审核工作的琳达·哈米迪(Linda Hamidi)表示:“云服务及其大学的使用方式无法为此类个人数据提供足够的保护。

当研究小组向警方发送电子邮件要求提供更多信息时,随附了一份扫描报告作为参考,尽管警察指出不适当地发送敏感材料到警察局,但研究小组后来还是重复了这种做法。未加密的电子邮件。

—这些事件表明,大学没有采取必要措施来确保针对风险的适当安全级别。

瑞典数据保护局还批评该大学未将事件报告为个人数据泄露事件。自2018年5月25日起,组织有义务向瑞典数据保护局报告个人数据泄露情况。

—管制员有义务将数据泄露通知DPA,并向我们介绍为减轻事件影响并防止将来再发生类似事件而采取的措施。

对已完成侵权行为的整体评估导致瑞典数据保护局对大学处以550,000瑞典克朗的行政罚款。

此处发布的新闻稿并不构成EDPB的官方通讯,也不代表EDPB的认可。本新闻稿最初由国家监管机构发布,并应SA的要求在此处发布,以供参考。由于新闻稿显示在SA网站或其他通讯渠道上,因此该新闻仅以英文或会员国的官方语言提供,并以英文作简短介绍。关于本新闻稿的任何疑问,应直接向有关监管部门提出。