Jogsértően kezelte a személyes adatokat az izlandi kormány
Ez a cikk több mint egy éve került publikálásra. A cikkben szereplő információk a megjelenéskor pontosak voltak, de mára elavultak lehetnek.
Jogsértően kezelte az adatokat az izlandi turizmus koronavírus okozta válságból való kilábalására létrehozott ajándékkártya applikáció.
Az alapügy
A koronavírus okozta izlandi gazdasági nehézségek miatt az izlandi kormány 2020 elején úgy döntött, hogy megsegíti az idegenforgalmi szektort és a kisvállalkozásokat és ennek érdekében egy 5000 IKR (kb. 34 euró) értékű digitális ajándékutalvány ad minden 18 éven felüli izlandi számára.
Az izlandi kormány szerződést kötött egy olyan céggel, amely digitális ajándékkártya-alkalmazást bocsátott ki a korábban általa már kifejlesztett alkalmazás alapján. Az alkalmazás első közzététele után az izlandi adatvédelmi hatóság bejelentéseket kapott az érintettektől az alkalmazás által használt személyes adatok nagy számával és a felhasználó mobileszközéhez való széles körű hozzáférési jogokkal kapcsolatban.
Az izlandi adatvédelmi hatóság ezt követően úgy döntött, hogy hivatalból eljárást indít és megvizsgálja, hogy a projekt megfelel-e a GDPR-nak.
Az izlandi adatvédelmi hatóság megállapításai
Az izlandi adatvédelmi hatóság határozatában kiemelte, hogy a gazdasági helyzet miatt nagy hangsúlyt fektettek mind a programozás, mind az alkalmazás közzétételének gyorsaságára, ami a beállítások nem megfelelő megválasztását eredményezte. Ez jelentős mennyiségű személyes adat jogellenes és szükségtelen gyűjtéséhez, valamint a felhasználó mobileszközeihez való hozzáférési jogok széles körű biztosításához vezetett.
Továbbá nem teljesültek a hozzájárulás követelményei, és az érintettek nem kaptak megfelelő tájékoztatást az alkalmazásba való bejelentkezéskor.
Ezenkívül az adatkezelő és az adatfeldolgozó nem biztosította a személyes adatok megfelelő biztonságát. A 28. cikk (3) bekezdése szerinti adatkezelési megállapodás nem jött létre, és az adatkezelő és az adatfeldolgozó nem valósította meg a beépített és alapértelmezett adatvédelmet, amelynek az adatminimalizálást kellett volna biztosítania az alkalmazás tervezésekor.
A fentiekre tekintettel az izlandi adatvédelmi hatóság 7,5 millió ISK (kb. 50 800 euró) bírságot szabott ki az Ipari és Innovációs Minisztériumra, valamint 4 millió ISK (kb. 27 100 euró) bírságot az alkalmazást fejlesztő YAY ehf-re. A hatóság a bírság meghatározásakor figyelembe vette többek között az adatkezelés jellegét és terjedelmét, valamint a GDPR több rendelkezésének megsértését.
(edpb.europa.eu)