Nepietiekami datu aizsardzības risinājumi bankā

Valsts: Bulgārija

Naudas soda apmērs: 511 200 EUR

Vietējai bankai piemērots sods par 33 492 savu klientu personas datu atstāšanu bez adekvātas aizsardzības. Lieta uzsākta pēc kādas trešās personas paziņojuma, ka tai ir brīva piekļuve bankas klientu informācijai. Veicot iekšējas pārbaudes, ielaušanās bankas datu bāzēs netika konstatēta. Tika secināts, ka dati nopludināti nevis elektroniskā formā, bet gan uz papīra drukātā veidā. Uzraudzības iestāde nolēma, ka banka nav ieviesusi pietiekamus tehniskos un organizatoriskos risinājumus klientu un trešo personu datu aizsardzībai.

Ko varam mācīties no šīs situācijas?

Datu pārziņiem ir jāievieš tehniskās un organizatoriskās prasības, patstāvīgi izvērtējot, kādi risinājumi ir piemēroti pastāvošajiem riskiem un apstrādāto datu veidam.

Sejas atpazīšanas tehnoloģijas skolā

Valsts: Zviedrija

Naudas soda apmērs: 20 000 EUR

Pašvaldībai piemērots sods saistībā ar pilotprojekta īstenošanu, kura ietvaros vienā no pašvaldības skolām tika izmantotas sejas atpazīšanas tehnoloģijas, lai, apstrādājot skolēnu biometriskos datus, kontrolētu skolēnu stundu apmeklējumu. Pašvaldības rīcība bija saskaņota ar skolēnu ģimenēm, tomēr uzraugošā iestāde atzina to par nepietiekamu juridisko pamatojumu projekta īstenošanai, ņemot vērā datu apstrādes raksturu. Turklāt rīcība ar biometriskajiem datiem nebija saskaņota ar uzraudzības iestādi.

Ko varam mācīties no šīs situācijas?

Personas piekrišana ne vienmēr var tikt uzskatīta par pietiekamu pamatu, lai veiktu  datu apstrādi. Katrs gadījums vērtējams individuāli, tāpēc, ja pastāv šaubas par datu apstrādes pieļaujamību, ieteicams konsultēties ar uzraugošo iestādi, jo sevišķi, ja tiek veikta īpašo datu kategoriju apstrāde.

Dati par elektrības patēriņu var būt personas dati

Valsts: Spānija

Spānijas Augstākā tiesa ir atzinusi, ka par personas datiem uzskatāma  informācija par personas elektroenerģijas patēriņu. Nostāja pamatota ar ES tiesas praksi, kurā nostiprināta vispārēja atziņa, ka par personas datiem uzskatāmi tādi dati, kurus izmantojot kopā ar papildus informāciju, var identificēt personu. Tiesa norādīja, ka, zinot elektroenerģijas piegādes vietu, iespējams viegli identificēt šīs vietas īpašnieku un, zinot enerģijas patēriņu dažādos laika posmos, bez lielas piepūles iespējams spriest par personas ieradumiem un dienas kārtību.

Ko varam mācīties no šīs situācijas?

VDAR 4. pants paredz, ka par personas datiem uzskatāmi ne tikai tādi, kas personu identificē, bet arī tādi, kas var palīdzēt to identificēt netiešā veidā. Tāpēc personas dati var būt arī informācija, kura tāda nešķiet pirmajā brīdī, un uzmanība jāpievērš ne tikai plānotajam datu izmantošanas nolūkam, bet arī citiem veidiem, kādos dati kopā ar citiem datiem var tikt izmantoti ļaunprātīgos nolūkos, piemēram, lai konstatētu, vai persona atrodas savā mājoklī.