日期：24 November 2020

國家：瑞典

關鍵字：適當安全措施；兒童

GDPR：§24 (1) (implement appropriate technical and organisational measures)

裁決：行政罰鍰

摘要：

(1) 瑞典監管機關對斯德哥爾摩市所建立的學校平台（the School Platform）——保管多達 50 萬名學生、監護人以及教師的個人資料——進行審查，由於該平台採取的安全措施嚴重不足，因此，監管機關對控管者——教育委員會——處以 400 萬克朗的行政罰鍰。

(2) 事件起因於監管機關收到來自於斯德哥爾摩市教育委員會的通報（Data Breach Notification），表示發生多起與學校平台有關的個資外洩案件。

(3) 學校平台保管的個人資料，包括資料主體的敏感性資訊，例如學生或教師的特種個資，以及具有機密性及受保護身分的資訊。

(4) 監管機關調查了學校平台內的四個子系統，發現存在有嚴重瑕疵。在其中一個子系統中，由於權限控管設計上的缺失，使得大部分教職員工得以查閱具保護身分學生的個人資料；而在另一個子系統中，監護人得以相對簡單的方式，獲取其他學生（兒童）的個人資料，例如學習成績以及評估訪談紀錄。

(5) 此外，透過 Google 的搜尋引擎，任何人都可以找到登錄管理介面的連結，並且查閱其中具有受保護身分教師的個人資料。

(6) 監管機關認為，在這樣的 IT 系統中（學校平台），由於需要處理大量的個人資料，因此，控管者必須採取適當安全措施，以保護資料主體的個人資料，並且持續進行評估，以確保安全措施符合一定的保護等級。

(7) 最終，監管機關認為控管者並未採取適當的安全措施，以確保個人資料獲得安全地處理，包括定期測試、檢查，以及評估現有技術措施的有效性，因而決定對控管者處理 400 萬元瑞典克朗的行政罰鍰。在瑞典，對於公務機關的行政罰鍰上限為 1,000 萬元瑞典克朗。