VB: 89.900 EUR za policijo Severne Irske
Nadzorni organ je policijsko službo Severne Irske kaznoval zaradi kršitve varnosti podatkov v zvezi z javnim razkritjem zbirke osebnih podatkov 9.483 zaposlenih v policiji.
Odločitev je bila objavljena 3.10.2024
Policijska služba Severne Irske (PSNI) je upravljala obsežno zbirko osebnih podatkov o policistih in osebju PSNI. Podatki o zaposlenih so vključevali priimke in začetnice imen, delovno mesto, čin/razred, oddelek, lokacija delovnega mesta, vrsta pogodbe, spol in identifikacijsko številko zaposlenih.
PSNI redno odgovarja na zahteve iz naslova dostopa do informacij in za izpolnitev teh zahtev podatke črpa iz te zbirke. Obdelava osebnih podatkov uradnikov in osebja PSNI je potekala vsakič, ko so bili podatki o zaposlenih preneseni iz sistema za upravljanje človeških virov PSNI in analizirani v Excelu za pripravo informacij, ki bodo razkrite v odgovoru.
Dne 8. avgusta 2024 je prišlo do nepooblaščenega razkritja osebnih podatkov vseh policistov in osebja PSNI, ko je bila na spletni strani, imenovani »whatdotheyknow.com«, objavljena preglednica v sklopu pripravljenega odgovora na eno izmed zahtev. Preglednica je bila sestavljena iz več listov, skriti list pa je pomotoma vseboval osebne podatke o osebju PSNI. Ta list ni bil izbrisan pred objavo dokumenta na spletu.
Odločitev nadzornega organa
Nadzorni organ je ugotovil, da je PSNI med 25. majem 2018 (datum začetka uporabe GDPR) in 14. junijem 2024 kršil člene 5(1)(f), 32(1) in 32(2) UK GDPR, saj bi namreč lahko prišlo do kršitve varnosti kadar koli v tem dolgem obdobju. Obdelava osebnih podatkov ni bila izvedena na način, ki bi zagotavljal ustrezno varnost podatkov z uporabo ustreznih tehničnih in organizacijskih ukrepov, kot je izobraževanje administrativnega osebja.
PSNI bi moral vedeti, da so v datotekah s preglednicami skriti listi (in s tem tveganje za človeške napake) zelo pogosti in da usposabljanje zaposlenih za preprečevanje napak ni bilo zadostno.
Nadzorni organ je pri določitvi kazni upošteval podaljšano trajanje in resnost kršitve podatkov in prvotno kazen določil v višini 6.715 240 EUR, vendar je to številko popravil, ker je upravljavec izvršilni organ javnega sektorja. Zaradi tega je bila kazen znižana na 89 930 EUR.
Celotna odločitev je dostopna tukaj
Vir: GDPRHub
Naslovna slika: RawPixel
