日期：19 March 2019

國家：挪威

關鍵字：違法存取；適當安全措施；兒童

GDPR：§5(1)(f) (integrity and confidentiality)、§32 (security of processing)

裁決：行政罰鍰（€ 170,000）

摘要：

(1) 挪威監管機關對Bergen市課處行政罰鍰 € 170,000。

(2) Bergen市的電腦系統中，保存該市所有小學35,000筆學生及雇員的個人資料，該等資料，因為安全措施不夠充分，導致使用者可以在未經授權的情況下，接近使用他人之個人資料；本案重點是，被害的當事人大多數是兒童。

(3) 監管機關調查後發現，該市電腦系統的安全設計嚴重不足，未經授權之使用者在登錄電腦系統後，甚至可以查閱到不同系統的使用者名稱及其密碼（例如教學平台、學校行政系統）。

(4) 系統內資訊，包含使用者的姓名、密碼、出生年月日、地址、學校名稱及所屬年級，使用者可以不受限制的進入個別系統，當進入中央數位學習平台時，可以看到學生作業成績以及教師對個別學生的評分。

(5) 監管機關認為，在GDPR的規定裡，兒童是特別需要保護的弱勢群體（vulnerable group），個別政府機關處理與兒童有關的個人資料時，必須意識到其所應盡的保護義務，因而課處Bergen市行政罰鍰。