Municipalitatea din Oslo și Agenția pentru Educație au fost amendate de către Autoritatea norvegiană pentru protecția datelor cu suma de 120.000 de euro pentru că au prelucrat date cu caracter personal printr-o aplicație cu o securitate scăzută și nu au implementat măsuri tehnice și organizatorice adecvate pentru a asigura un nivel de securitate corespunzător riscului.

La ce folosește aplicația?

Aplicația este folosită pentru comunicarea dintre angajații școlii, părinți și elevi. Folosind aplicația utilizatorii pot să: 

• primească și să răspundă la mesajele primite de la școală;
• trimită mesaje profesorilor și elevilor;
• raporteze absențele;
• listeze toate mesajele trimise copiilor utilizatorului;
• primească alerte atunci când sunt emise mesaje noi de la școală.

De ce a fost aplicată amenda?

Amenda a fost emisă pentru că:

• aplicația permitea părinților să transmită date cu privire la starea de sănătate a copiilor în vederea motivării absențelor într-un câmp de text lăsat liber pentru completare,  fără ca aplicația să aibă implementate măsuri tehnice pentru a preveni comunicarea liberă a unor astfel de informații și fără a informa utilizatorii că ar trebui să evite comunicarea acelor informații privind starea de sănătate;
• au fost posibile accesarea și modificarea neautorizate a datelor a peste 63.000 de elevi minori din cauza slabelor măsuri de securitate ale aplicației;
• aplicația avea vulnerabilități de securitate cunoscute ca urmare a testării de securitate inadecvate înainte de lansarea acesteia.

Autoritatea recomandă ca, în conformitate cu prevederile privind asigurarea protecției datelor de la momentul conceperii și în mod implicit (data protection by design and by default), să se implementeze  măsuri alternative, cum ar fi inserarea listelor derulante (drop-down lists) și a casetelor de bifare (tick boxes).

Circumstanțe atenuante care au dus la reducerea amenzii

Amenda a fost aplicată în luna octombrie 2019 și nu a fost contestată. Inițial, cuantumul amenzii fusese stabilit la suma de 200.000 de euro, însă autoritatea a redus amenda pentru că au existat circumstanțe atenuante în cazul respectiv, cum ar fi:

• implementarea unor măsuri de limitare a pagubelor imediat ce s-a primit sesizarea cu privire la defectele de securitate;
• demonstrarea disponibilității de a rezolva problemele.

Detalii despre aplicație pot fi găsite aici.