日期：18 August 2020

國家：挪威

關鍵字：個資侵害事件；個資影響評估（DPIA）

GDPR：§35 (DPIA)

裁決：行政罰鍰（€47,500）

摘要：

(1) 挪威監管機關對控管者Rælingen 市課處行政罰鍰（€47,500）。

(2) 該市要求學童使用Showbie 數位學習平台，在發現該平台發生個資侵害事件後，通報監管機關因而展開本次調查。

(3) 監管機關認為，該學習平台的安全等級與風險不成比例，這是個重大問題，因為本案與兒童及其健康資料有關。

(4) 本次事件影響到 15 位有特殊需求的兒童，而平台的應用程式已經將與這些兒童有關的健康資料傳送給學校及其他人。

(5) 控管者具體的違規行為，包括：

• 採用平台前，未進行個人資料影響評估（DPIA）；
• 登錄應用程式系統時，缺乏適當安全措施，因此，任何人可以獲取群組中其他兒童的個人資料。

(6) 雖然控管者表示，沒有跡象表明有任何兒童實際上受到了物質性或非物質性損害，但監管機關認為這不是重點，因為個資侵害事件的發生，本身就會產生風險，無論該風險是否實際上表現出對受影響兒童更為具體的損害形式。

(7) 據此，監管機關對控管者課處行政罰鍰。