GDPR Case 090. Norwegian Data Protection Authority: Decision to Fine Bergen Municipality

日期：14 October 2020

國家：挪威

關鍵字：適當安全措施；機密性；個資影響評估（DPIA）

GDPR：§5(1)(f) (integrity and confidentiality)、§32 (security of processing)、§35 (DPIA)

裁決：行政罰鍰（€276,000）

摘要：

(1) 挪威監管機關對卑爾根市政府課處約 €276,000 元的行政罰鍰，因為該市所屬學校與學生家長之間的聯繫方式，安全性不足。

(2) 2019 年 10 月，監管機關收到卑爾根市政府的個資外洩通知，事件與該市學校和學生家長間使用的通訊軟體有關。

(3) 該市所屬學校剛剛引進 Vigilo 軟體，用來作為與家長聯繫、溝通的通訊工具。該軟體包含一個功能，使得學校或家長可以通過網站或應用程式進行溝通，而在使用該軟體前，卑爾根市政府並未制定或公告必要的指導方針，以保護兒童的利益。

(4) 例如某案例，學校向全年級的家長寄發一份聯絡名單，其中居然包含某位學生應予保密的地址（confidential address），監管機關認為，學校現行做法，並沒有事先評估父母與孩子之間的關係，風險評估顯然不足。

(5) 監管機關強調，卑爾根市政府沒有制定或公告必要的指導方針，無法維護那些必須受到最高保密程度保護的兒童利益。