GDPR Case 056. Personal Data breach at the Breiðholt Upper Secondary School – Administrative fine
GDPR Case 056. Personal Data breach at the Breiðholt Upper Secondary School – Administrative fine
GDPR:§5(1)(f) (integrity and confidentiality)、§32 (security of processing)
·
日期:10 March 2020
國家:冰島
關鍵字:個人資料侵害;健康資料
GDPR:§5(1)(f) (integrity and confidentiality)、§32 (security of processing)
裁決:行政罰鍰(€8,945)
摘要:
(1) 冰島監管機關對 Breiðholt 高中課處行政罰鍰,因為一起個資侵害事件。
(2) 事件的經過是該校某位教師寄發電郵給 57 位課堂上的學生與家長,電郵附有一份文件,涉及個別學生享有的社會福利、學習表現以及具體社會條件等資料;在很大程度上,這些資訊與個別學生當前所面臨到的各項問題有關。
(3) 例如其中一例,涉及到某學生目前正被兒童保護機構安置中;甚至是,文件還揭露某位學生的不為人知的身體疾病,以及另外一位學生所面臨到的心理健康問題。
(4) 經過調查,監管機關認為上述個資侵害事件,是源於學校(控管者)並未採取適當的資料保護政策以及適當的技術和組織措施來保護學生的個人資料,違反 GDPR §5(1)f 及 §32 等規定,考量到本件涉及學生的健康資料(特種個資)以及學校是非營利機構等因素,監管機關對學校課處如上罰鍰。