Pokuta pro Norskou sportovní konfederaci
Norský úřad pro ochranu osobních údajů oznámil, že uložil pokutu Norské sportovní konfederaci (NIF) za nedodržení zásad zákonnosti, minimalizace a bezpečnosti.
Norský DPA (Datatilsynet) oznámil Norskému olympijskému a paralympijskému výboru a Konfederaci sportů (NIF), že jim bude uložena pokuta ve výši 236 165 EUR za porušení zabezpečení údajů, při kterém byly online zpřístupněny osobní údaje 3,2 milionu lidí.
V celém případu jde o databreach osobních údajů o 3,2 milionu Norů, které zůstaly k dispozici online po dobu 87 dní po chybě při testování cloudového řešení. Při rutinním kontrole irských IP adres objevilo irské národní centrum kybernetické bezpečnosti (CSIRT-IE) zveřejněné osobní údaje milionů lidí. Irové varovali Norské národní centrum pro kybernetickou bezpečnost (NCSC), které poté upozornilo NIF.
Porušení zabezpečení dat způsobil přesun do Azure a vše souviselo s testováním služby (Elasticsearch), která měla zlepšit správu členů organizace. NIF se rozhodla provést testování na skutečných datech a take došla k závěru, že bylo nutné použít značné množství dat. Rovněž získali dojem, že je nezbytné provést testování co nejrychleji. NIF připustila, že neprovedla dostatečné hodnocení rizik, ani neposoudila, zda je možné použít anonymizované údaje nebo užší výběr osobních údajů. Osobní údaje spojené s porušením byly jména, pohlaví, datum narození, adresa, telefonní číslo, e-mailová adresa a klubová příslušnost. Z 3,2 milionu lidí postižených porušením bylo téměř půl milionu dětí ve věku 3–17 let.
Norský orgán pro ochranu osobních údajů Datatilsynet má za to, že testování osobních údajů bylo zahájeno bez dostatečného posouzení rizik a bez zavedení konkrétních postupů nebo opatření k zabezpečení informací.
Norský orgán dohledu se rovněž domnívá, že NIF neměla odpovídající právní základ pro testování s těmito osobními údaji. Jedná se o požadavek, kdy využití osobních údajů musí být pro daný účel nezbytné a cíle nelze dosáhnout méně invazivními způsoby. Norský úřad pro ochranu údajů se domnívá, že testování mohlo být provedeno pomocí zpracování neautentických, tedy smyšlených osobních údajů - nebo alespoň použitím mnohem menší rozsahu osobních údajů.
NIF chyběly základní postupy a bezpečnostní opatření k řádné ochraně osobních údajů, což znamenalo porušuní článku 32. Norský úřad pro ochranu osobních údajů rovněž zdůraznil, že účel zpracování (testování nových řešení pro správu členů) mohlo být dosaženo méně rušivým způsobem nebo alespoň zpracováním menšího množství osobních údajů. NIF rovněž měla omezit kategorie subjektů údajů, u nichž bylo testování provedeno.
Dozorový orgán dále posoudil a dospěl k závěru, že NIF neměla účel zpracování podle čl.5 odst.1 písm. B) ani právní důvody podle článku 6.
Celkově dozorový orgán zjistil, že NIF porušila čl. 5 odst. 1 písm. A), c) af), článek 6 a článek 32. Za tímto účelem obdržela NIF oznámení o pokutě 236 165 EUR.