A bírságot azért szabták ki, mert az önkormányzat nem hajtott végre megfelelő technikai és szervezési intézkedéseket a személyes adatok kezelésével járó kockázatokkal arányos biztonsági szint elérése érdekében.
A norvég adatvédelmi hatóság szerint:
1. Az alkalmazáson keresztül a szülők egy szabad szavas mezőben üzeneteket küldhetnek gyermekeikkel és az iskolából való hiányzásukkal kapcsolatban. Ez lehetővé teszi a gyermekekre vonatkozó különleges személyes adatok, például az egészségügyi adatok közlését a mobilalkalmazásban. Nem építettek be olyan technikai megoldást, amely megakadályozná az ilyen adatok közlését, illetve, az alkalmazásban sem tájékoztatják a felhasználókat, hogy az alkalmazáson belül ne továbbítsanak különleges személyes adatokat. A tervezett és beépített adatvédelemmel összhangban az alternatív intézkedések, például a legördülő listákkal és a jelölőnégyzetekkel jobban garantálható a személyes adatok biztonsága, mint a szabad szavas mezővel.
2. A norvég adatvédelmi hatóság azt is megállapította, hogy az alkalmazásba való bejelentkezés gyenge biztonsága lehetővé tette az illetéktelen személyek számára, hogy hozzáférjenek és megváltoztassák az első-tizedik osztályban több mint 63 000 tanuló személyes adatait.
3. Az alkalmazás bevezetése előtt nem volt megfelelő biztonsági tesztelés, ezért az alkalmazás már ismert biztonsági réseket tartalmazott.
Korábban az adatvédelmi hatóság még 200 000 euró pénzbírság kiszabására tett javaslatot a fentiek miatt, de az összeget végül 120 000 euróra csökkentették, mivel az ügyben enyhítő körülmények is felmerültek. Az önkormányzat mihelyt tudomást szerez a biztonsági hiányosságokról, intézkedéseket tett problémák elhárítása érdekében és továbbra is készen áll a kérdések megoldására.
Oslo önkormányzata nem élt fellebbezéssel az adatvédelmi hatóság döntésével szemben.
(edpb.europa.eu)