VB: 20.700 EUR za Birthlink

VB: 20.700 EUR za Birthlink
12. 08. 2025 objavil/a Info Hiša
32. člen GDPR
33. člen GDPR
5. člen GDPR
globa
ICO
izbris osebnih podatkov
uničenje podatkov
Velika Britanija

Nadzorni organ je dobrodelno organizacijo kaznoval zaradi nezakonitega izbrisa osebnih podatkov o posvojitvah

Odločitev je bila objavljena 28.7.2025

Birthlink je dobrodelna organizacija, specializirana za podporo in svetovanje po posvojitvi ljudem na Škotskem. Od leta 1984 si dobrodelna organizacija lasti in vzdržuje register kontaktnih podatkov za Škotsko. Register omogoča, da posvojene osebe, biološki starši in sorodniki posvojene osebe, vpišejo svoje podatke z namenom, da se povežejo z družinskimi člani in se z njimi morebiti ponovno združijo.

Januarja 2021 je Birthlink pregledal, ali lahko uniči »povezane zapise«, saj je v omarah dobrodelne organizacije, kjer so bili shranjeni, zmanjkovalo prostora. »Povezani zapisi« so datoteke primerov, v katerih so bili ljudje že povezani z osebo, ki so jo iskali, pri čemer lahko vključujejo ročno napisana pisma bioloških staršev, fotografije in kopije rojstnih listov. Po seji upravnega odbora februarja 2021 je bilo dogovorjeno, da ni ovir za uničenje zapisov, vendar da bi morali za določene datoteke veljati roki hrambe in da se lahko uničijo le zamenljivi zapisi. Zaradi slabega vodenja evidenc obdelav se ocenjuje, da so bili nekateri zapisi uničeni 15. aprila 2021, nadaljnjih 40 svežnjev pa 27. maja 2021. Ocenjen obseg kršitve je 4.800 osebnih podatkov. Avgusta 2023 je upravni odbor Birthlink po inšpekcijskem pregledu škotskega inšpektorata za oskrbo ugotovil, da so bili v okviru celotnega uničenja zapisov dejansko uničeni tudi nenadomestljivi podatki, zato so incident prijavili nadzornemu organu (ICO).

Preiskava je pokazala, da je bilo v času kršitve v dobrodelni organizaciji slabo razumevanje zakona o varstvu podatkov, saj organizacija ni uvedla ustreznih politik in postopkov ali ustrezno izobrazila svojega osebja. Ugotovljeno je bilo tudi, da se je uničevanje fotografij in zapisov posameznikov nadaljevalo, čeprav je bil postopek sporen. Zaradi slabega upravljanja organizacija Birthlink sploh ni mogla identificirati posameznikov, ki jih je kršitev varnosti prizadela in tako ni mogoče določiti celotnega obsega podatkov, ki so bili izbrisani.

ICO je organizaciji izrekel kazen v višini 18.000 GBP zaradi kršitev UK GDPR:

  • člena 5(1)(f) - načelo integritete in zaupnosti,

  • člena 5(2) - načelo odgovornosti,

  • člena 32(1)-(2) - varnost obdelave in

  • člena 33 - obveščanje nadzornega organa o kršitvi varnosti osebnih podatkov.

Po kršitvi varnosti je organizacija uvedla izboljšave, vključno z digitalnim beleženjem in shranjevanjem vseh fizičnih zapisov, imenovanjem pooblaščene osebe za varstvo podatkov in začetkom izobraževanja osebja.

Celotna odločitev je dostopna tukaj.

Vir: ICO