Πρόστιμο 5.000 ευρώ σε Δήμο για τη χρήση fitness app από μαθητές σχολείου στη Νορβηγία
ΕΜΠΟΡΙΚΟ ΔΙΚΑΙΟ / ΔΙΚΑΙΟ ΒΙΟΜΗΧΑΝΙΚΉΣ ΚΑΙ ΠΝΕΥΜΑΤΙΚΉΣ ΙΔΙΟΚΤΗΣΙΑΣ ΝΕΕΣ ΤΕΧΝΟΛΟΓΙΕΣ & ΔΙΚΑΙΟ ΔΙΟΙΚΗΤΙΚΟ ΔΙΚΑΙΟ / ΕΙΔΙΚΟ ΔΙΟΙΚΗΤΙΚΟ ΔΙΚΑΙΟ / ΠΡΟΣΩΠΙΚΑ ΔΕΔΟΜΕΝΑ
ΙΩΑΝΝΗΣ ΙΓΓΛΕΖΑΚΗΣ
ΓΕΩΡΓΙΟΣ ΖΕΚΟΣ
ΝΕΕΣ ΤΕΧΝΟΛΟΓΙΕΣ & ΔΙΚΑΙΟ
Στις 5 Μαΐου 2020 η Νορβηγική Αρχή Προστασίας Δεδομένων (Datatilsynet) δέχθηκε ανακοίνωση παραβίασης δεδομένων από το Δήμο του Όλεσουντ, ως υπευθύνου για τη λειτουργία των σχολείων της περιοχής. Η παραβίαση, που ανακοινώθηκε, αφορούσε στη χρήση της εφαρμογής Strava από μαθητές δύο Γυμνασίων της περιοχής, κατόπιν σχετικής εντολής των Καθηγητών τους.
Η Strava είναι εφαρμογή για κινητά τηλέφωνα, η οποία παρέχει τη δυνατότητα παρακολούθησης και καταγραφής αθλητικών δραστηριοτήτων, καθώς και σύγκρισης δεδομένων χρηστών. Επελέγη κατά τη διάρκεια της καραντίνας στις αρχές του 2020 από δύο Γυμναστές, έτσι ώστε να μπορούν να βάζουν ασκήσεις στους μαθητές τους (ενδ. ποδηλασία) και παράλληλα να είναι σε θέση να παρακολουθούν τη συμμετοχή τους και να συγκρίνουν τις επιδόσεις τους. Το κατέβασμα και η χρήση της εφαρμογής υπήρξαν υποχρεωτικά.
Μόλις ο Δήμος του Όλεσουντ πληροφορήθηκε για τη χρήση αυτή, ενημέρωσε τη Νορβηγική Αρχή, εκτιμώντας ότι αυτή συνιστά παραβίαση δεδομένων. Η Datatilsynet συμφώνησε.
Σύμφωνα με την Αρχή, ο Δήμος, ως υπεύθυνος επεξεργασίας είχε παραβιάσει όλες τις απαιτήσεις ασφάλειας του Γενικού Κανονισμού Προστασίας Δεδομένων. Η χρήση του app χωρίς την εφαρμογή κατάλληλων τεχνικών και οργανωτικών μέτρων συνιστά παραβίαση των άρθρων 32 παρ.1β και 24 παρ.1 ΓΚΠΔ, ενώ η παράλειψη διενέργειας Εκτίμησης Αντικτύπου συνιστά παραβίαση του άρθρου 35.
Ειδικότερα, η Αρχή δεν είχε καμία αμφιβολία για το ότι η χρήση του app συνιστά επεξεργασία προσωπικών δεδομένων, όπως και για το ποιος ήταν ο υπεύθυνος επεξεργασίας, που είχε την ευθύνη συμμόρφωσης με τις απαιτήσεις ασφάλειας του Γενικού Κανονισμού. Παρά το γεγονός ότι η χρήση της εφαρμογής έγινε με απόφαση και εντολή των Καθηγητών και γνώση των σχολείων, υπεύθυνος επεξεργασίας υπήρξε ο Δήμος της περιοχής.
Ο Δήμος ήταν εκείνος, ο οποίος θα έπρεπε να έχει θέσει τους κανόνες για την ασφαλή χρήση εφαρμογών, να έχει λάβει όλα τα αναγκαία τεχνικά και οργανωτικά μέτρα και να έχει διενεργήσει εκτίμηση επιπτώσεων. Η Αρχή επεσήμανε μάλιστα ότι οι παραλείψεις ασφάλειας δεν εντοπίζονται στην ίδια την εφαρμογή, αλλά αποκλειστικά στη χρήση της από τα σχολεία.
Η χρήση αυτή από τους μαθητές, χωρίς την προηγηθείσα εκτίμηση επιπτώσεων, συνιστά παραβίαση των δεδομένων τους, υπό την έννοια ότι οι ίδιοι, ως υποκείμενα των δεδομένων, δεν είχαν κανέναν έλεγχο των πληροφοριών τους, που ανέβαιναν από το κινητό τους και οι οποίες θα μπορούσαν δυνητικώς να τεθούν στη διάθεση οποιουδήποτε τρίτου. Οι πληροφορίες αυτές μάλιστα θεωρήθηκαν από την Αρχή ως ιδιαίτερα σημαντικές και άξιες προστασίας, καθώς οι μεν λογαριασμοί έφεραν τα ονόματα των μαθητών, ενώ από τις διαδρομές που καταγράφονταν μπορούσε κανείς να συναγάγει τον τόπο κατοικίας ενός εκάστου. Έτι περαιτέρω δε, οι μαθητές είχαν τη δυνατότητα να προσθέσουν στο προφίλ τους και πληροφορίες σχετικές με την υγεία τους.
Στο πλαίσιο επιμέτρησης του προστίμου, μεγάλη σημασία από την Αρχή δόθηκε στο γεγονός πως το περιστατικό κατέδειξε πως ο αρμόδιος Δήμος δεν είχε, ως όφειλε, θέσει κανόνες για το ποιες εφαρμογές και υπό ποιες προϋποθέσεις μπορούν να χρησιμοποιούνται στο πλαίσιο εκπαιδευτικών δραστηριοτήτων.
Υπό τα δεδομένα αυτά, η Datatilsynet αποφάσισε να επιβάλει στο Δήμο του Όλεσουντ διοικητικό πρόστιμο 5.000 ευρώ.
Το δελτίο τύπου είναι διαθέσιμο στα αγγλικά.
