GDPR Case 097. Norwegian DPA imposes administrative fine to Østfold HF Hospital

日期：25 November 2020

國家：挪威

關鍵字：適當安全措施；個資外洩

GDPR：§24 (1) (implement appropriate technical and organisational measures)

裁決：行政罰鍰

摘要：

(1) 挪威監管機關對控管者——Østfold HF Hospital——課處 75 萬元挪威克朗之行政罰鍰，因為控管者在 2013年至2019 年間，在電腦系統的安全區域外，另外儲存病歷摘要。本案因為控管者通報資料外洩而開啟調查。

(2) 調查後發現，控管者用來儲存病歷摘要的電腦資料夾，並未設定權限控管（access control），並且與該資料夾有關的存取活動，也都沒有留下軌跡紀錄（log）；此外，即使已經不再需要的病歷摘要，也持續留存在資料夾中。監管機關認為，如此長時間的儲存未經遮罩的病歷資料，適足以表明控管者的內部管理系統，確實存在缺陷。

(3) 本案有關的病歷摘要（RfD 名單），均涉及準備出院的患者，內容屬於病人的特種個資，主要有三類，包括：

• 即時更新的 RfD 名單，每 15 分鐘更新一次，每次包括約 25-30 名患者；
• 過去的 RfD 名單，時間從 2013 年到 2019 年，內容包括 13,800 位患者，以及 26,598 位已出院患者；
• 兩份帶有國民身份證號碼以及入院原因的名單，約有 30 位患者。

(4) 以上 RfD 名單（病歷摘要）包括的個人資料，包括：人口統計資訊、患者姓名、出生日期、居住城市、所屬部門，以及患者轉診所需的相關資訊。

(5) 由於控管者未對 RfD 名單儲存（及／或臨時儲存）所在的資料夾進行權限控管，因此，控管者內部的 118 名員工可以任意查閱該等名單、資料，其中，大多數人員沒有正式或合理的查閱需求。

(6) 由於控管者並未建立足以防止未來發生類似違規行為的控管系統，監管機關對其違法行為依法處以行政罰鍰。