日期：13 May 2020

國家：瑞典

關鍵字：個資侵害事件；特種個資；適當安全措施

GDPR：§9 (processing of special categories of personal data)、§32 (security of processing)

裁決：行政罰鍰（approx. €11,000）、命令（適當處理資料）

摘要：

(1) 瑞典監管機關收到投訴，表示 Örebro 省的醫療健康委員會在網站上，錯誤發布當地身心科診所收治病患的敏感性個人資料，導致該等資料對外洩露。

(2) 監管機關調查後發現，關於那些資料可以發布在醫療健康委員會的網站上，並沒有明確的書面指示，所有指示都是以口頭方式傳達，本案是因為執行發布行為之人沒有遵照指示辦理，這意味著委員會沒有採取足夠的組織措施（organizational measures），以確保個人資料不會被錯誤地發布在網站上。

(3) 因此，監管機關命令委員會日後必須以書面指示辦理，並採取相關措施，以確保執行發布行為之人有明確內容的指示可資遵循。

(4) 此外，監管機關同時指出，針對個人資料公布而言，委員會並沒有合法目的，沒有法律依據，也不符合 GDPR §9(2) 有關處理特種個人資料之例外要件，因此，除了前述改正命令外，同時對委員會處以行政罰鍰。