VB: 8.700 EUR za YMCA
Nadzorni organ je organizaciji izrekel globo, ker je kršila zakonodajo na področju varstva podatkov s pošiljanjem e-poštnih sporočil HIV pozitivnim posameznikom vsem prejemnikom namesto v skrito kopijo.
Odločitev je bila objavljena 6.3.2024
Central Young Men’s Christian Association (upravljavec) ponuja program vadbe za ljudi, ki živijo s HIV. Kot del programa Central YMCA zbira posebne vrste osebnih podatkov, vključno z napotnicami, datumi diagnoze HIV, zaužitimi zdravili, medicinsko statistiko, napotitvami v bolnišnice ali klinike in drugo zdravstveno zgodovino.
Koordinator programa je 6. oktobra 2022 poslal e-pošto na seznam 270 prejemnikov, ki so bili vneseni v funkcijo kopije (CC) namesto v funkcijo skrite kopije (BCC) in s tem so bili nepooblaščeno razkriti e-poštni naslovi vseh 270 prejemnikov. Upravljavec je bil s kršitvijo seznanjen po prejemu pritožb prizadetih posameznikov naslednji dan. Med incidentom je bilo razkritih 264 e-poštnih naslovov, od katerih jih je imelo 115 jasna imena, 51 pa delna imena, zaradi katerih so bili potencialno prepoznavni. Tako je kršitev prizadela 166 posameznikov.
Upravljavec je 7. oktobra 2022 prijavil kršitev Uradu informacijskega pooblaščenca (ICO). 10. oktobra 2022 pa tudi obvestil prizadete posameznike, prevzel odgovornost za svojo napako in jih obvestil o ukrepih, ki jih je sprejel.
V času kršitve je imel upravljavec ustno dogovorjeno politiko, da mora osebje programa pošiljati vabila na dogodke s funkcijo BCC.
Upravljavec se je odpovedal ugovoru na obvestilo ICO in je namesto tega sprejel odločbo in ugotovitve ICO. Sprejel je korektivne ukrepe, izvedel revizijo zunanje komunikacije v organizaciji in uvedel nove postopke za zagotavljanje ustreznih navodil za varno pošiljanje e-pošte. Upravljavec je posodobil tudi interno usposabljanje o varstvu podatkov.
Odločitev nadzornega organa
ICO je ugotovil, da je upravljavec kršil člen 5(1)(f) in 32 UK GDPR.
• Upravljavec je imel dostop do platforme za e-poštno trženje, ki bi zmanjšala verjetnost neustreznega razkritja, toda tega orodja ni uporabil za e-poštna sporočila v tem primeru. Pošiljanje obvestil z uporabo BCC je bilo zaradi možne človeške napake zelo tvegan način pošiljanja e-pošte. Glede na to tveganje je ICO menil, da ni pomembno, ali so bila pravila, ki zahtevajo to prakso, sprejeta pisno ali zgolj ustno dogovorjena.
• Upravljavec ni zagotovil izobraževanja o varstvu podatkov, specifičnega za posamezne vloge zaposlenih ali ravni dostopa do osebnih podatkov. V tem primeru je bil koordinator programa zunanji izvajalec, ki izobraževanja ni prejel. Tudi sicer ni učinkovito spremljal izvedbe izobraževanja, kar 27 % zaposlenih pri upravljavcu ni opravilo izobraževanja o varstvu podatkov. Izobraževanje upravljavca o varstvu podatkov je bilo vsebinsko pomanjkljivo.
Sprva je ICO menil, da bi bila kazen v višini 349.000 € (300.000 GBP) ustrezna glede na resnost kršitve. Vendar pa je ob upoštevanju sprejetih ukrepov in nove politike o nalaganju denarnih kazni ICO globo znižal na 8.730 evrov in dodal opomin.
Celotna odločitev je dostopna tukaj
Vir: GDPRHub
