GDPR Case 102. University failed to sufficiently protect sensitive personal data

日期：11 December 2020

國家：瑞典

關鍵字：雲端服務；個資侵害通報；學術研究

GDPR：§33 (notification to the SA)

裁決：行政罰鍰

摘要：

(1) 瑞典監管機關對控管者默奧大學（Umeå University）課處 55 萬瑞典克朗的行政罰鍰，因為該大學透過雲端服務處理有關性生活、健康資訊等特種個資時，並沒有採取適當的技術性和組織性措施，以充分保護資料主體之個人資料。

(2) 本件爭議，起因於控管者內部某研究單位要求警方提供男性強姦案件的初步調查報告，並且在收到這些報告時，予以掃描並以數位方式進行儲存；這些調查報告的內容，包括犯罪嫌疑人的姓名、身份證字號、聯繫方式，以及有關性生活以健康資訊等敏感性資料。

(3) 監管機關的調查顯示，儘管控管者默奧大學已經事前在內部網頁上，公告不應將含有特種個資的資料儲存在雲端服務系統中，但該研究單位仍然將一百多份調查報告儲存在位於美國的雲端服務系統中；監管機關認為，該雲端服務商與控管者使用雲端服務的方式，並未對此類特種個資提供足夠的資訊安全保護。

(4) 此外，該研究單位曾向警方發送電子郵件以索取進一步資訊，還附上一份掃描後的數位報告作為參考，警方在收到電子郵件後，曾經提醒透過未加密的電子郵件發送敏感性資料是不妥當的，但是該研究單位後來還是重複這樣的做法。

(5) 這些事件表明，控管者並未採取必要的安全措施，以確保與風險相當的安全水準。

(6) 監管機關指出，控管者並未向監管機關通報此一個資侵害事件，由於控管者有義務向監管機關通報個資侵害事件，並且說明採取哪些措施以降低事件影響，防止未來發生類似事件；經過評估後，監管機關對控管者課處 55 萬瑞典克朗的行政罰鍰。