GDPR Case 047. The Norwegian Data Protection Authority imposes a fine on the City of Oslo

日期：18 December 2019

國家：挪威

關鍵字：適當安全措施；健康資料

GDPR：§9 (processing of special categories of personal data)、§32 (security of processing)

裁決：行政罰鍰（€49,300）

摘要：

(1) 挪威監管機關對奧斯陸市政府的療養院管理局課處 €49,300 的行政罰鍰，因為該局在 2007 年至 2018 年 11 月間，在原有的健康紀錄電子系統之外，另外以電子文件儲存該市療養院及健康中心的患者資料。

(2) 監管機關認為，本案屬於嚴重的違規行為，因為影響的時間極長，而且範圍廣泛，至少在這 11 年間，療養院管理局、療養院以及健康中心的員工可以獲取這些健康資料，考量到奧斯陸市是挪威人口最多的城市，更應該要求該市必須符合相關的資訊安全要求。

(3) 2018 年，奧斯陸市通報監管機關，該市療養院管理局下轄的 19 家療養院及健康中心，以及與該市簽訂契約的 9 家私人療養院，一直使用工作表（work sheets）進行作業，這些工作表內容包括患者的個人資料，詳細記載他們的日常所需、例行護理方式，以及個人姓名、身分證字號、房間號碼等訊息。

(4) 這些工作表是以電子文件形式儲存在個別療養院、健康中心的內部系統，單位內的所有員工以及療養院管理局的部分員工可以接近使用，這些員工大約有 90% 是醫療專業人士，但是其餘 10% 的員工——例如清潔人員——在理論上也可以登錄並且接近使用這些資訊（不過，由於工作表的儲存方式（不在原有電子系統內），因此，並沒有完整的日誌紀錄可以追蹤究竟有哪些員工曾經開啟、閱覽過這份文件，也無法確定該人是否為有權閱覽）。

(5) 據稱，這些工作表會不斷被覆蓋，因此在任何時點，工作表內都只有當前患者的個人資料，而不包含先前患者的資訊；但是，即使如此，長期在療養院、健康中心工作的員工仍有可能藉此獲得大量的患者個人資料。

(6) 監管機關認為，多年來，療養院管理局對其處理個人資料的方式，並沒有從資訊安全的角度，全面性地予以考量，在健康紀錄電子系統之外，另外儲存可識別患者個人資料的做法，顯然違反 GDPR §32 以及健康紀錄法 §22、23等規定。

(7) 因此，監管機關決定對奧斯陸市療養院管理局課以 €49,300 之行政罰鍰。