Πρόστιμο ύψους 66.000 $ επιβλήθηκε σε ένα πανεπιστήμιο της Σουηδίας, αφού αποθήκευε ευαίσθητες προσωπικές πληροφορίες στο cloud, χωρίς να τους παρέχει επαρκή προστασία.
Το Πανεπιστήμιο Umeå, στη βόρεια Σουηδία, παραβίασε τον Γενικό Κανονισμό Προστασίας Δεδομένων (GDPR), επειδή δεν εξασφάλισε σωστά τα δεδομένα που σχετίζονται με μια ερευνητική μελέτη για την σεξουαλική υγεία των ανδρών, όπως αποφάνθηκε η Σουηδική Αρχή Προστασίας Δεδομένων.
Σύμφωνα με τη δήλωση της ρυθμιστικής αρχής, μια ερευνητική ομάδα είχε αποκτήσει πρόσβαση σε προκαταρκτικές αστυνομικές έρευνες σχετικά με περιπτώσεις βιασμού ανδρών.
Κατά τη λήψη των αρχείων, η ομάδα του πανεπιστημίου σάρωσε και αποθήκευσε ψηφιακά τα δεδομένα σε μια υπηρεσία αποθήκευσης cloud των ΗΠΑ, παρά το γεγονός ότι το ίδρυμα ενημερώνει τα μέλη της σχολής του ότι τέτοια ευαίσθητα αρχεία δεν πρέπει να αποθηκεύονται με αυτόν τον τρόπο.
Οι αναφορές περιείχαν πληροφορίες σχετικά με το έγκλημα, το όνομα, τον προσωπικό αριθμό ταυτότητας και τα στοιχεία επικοινωνίας, καθώς και ευαίσθητα δεδομένα σχετικά με τη σεξουαλική ζωή και τη γενική υγεία.
Σε ένα άλλο περιστατικό, η ερευνητική ομάδα έστειλε ένα email στην αστυνομία ζητώντας περισσότερες πληροφορίες, έχοντας επισυνάψει μάλιστα μία από τις έρευνες που εντόπισαν.
Η ερευνητική ομάδα επανέλαβε αργότερα αυτήν την ενέργεια, παρά το γεγονός ότι η αστυνομία επεσήμανε ότι πρόκειται για ακατάλληλο υλικό σε μη κρυπτογραφημένα email, αναφέρει η έκθεση.
Η Linda Hamidi, η οποία ηγήθηκε της έρευνας από τη Σουηδική Αρχή Προστασίας Δεδομένων, δήλωσε ότι «η υπηρεσία cloud και ο τρόπος που το πανεπιστήμιο τη χρησιμοποιεί δεν παρέχει επαρκή προστασία για αυτόν τον τύπο προσωπικών δεδομένων».
Η έκθεση αναφέρει: «Αυτά τα γεγονότα δείχνουν ότι το πανεπιστήμιο δεν έχει λάβει τα απαραίτητα μέτρα για να εξασφαλίσει ένα κατάλληλο επίπεδο ασφάλειας σε σχέση με τον κίνδυνο.»
Το Πανεπιστήμιο Umeå κατηγορήθηκε επίσης επειδή δεν ανέφερε την παραβίαση δεδομένων σύμφωνα με τους νόμους του GDPR, ο οποίος τέθηκε σε ισχύ τον Μάιο του 2018.
Η έκθεση προσθέτει: «Η Σουηδική Αρχή Προστασίας Δεδομένων επικρίνει επίσης το πανεπιστήμιο για το γεγονός ότι δεν ανέφερε το περιστατικό ως παραβίαση προσωπικών δεδομένων».
«Ο υπεύθυνος επεξεργασίας είναι υποχρεωμένος να ειδοποιεί την DPA για παραβιάσεις δεδομένων και επιπλέον να μας παρουσιάζει τι έχει γίνει για τον μετριασμό των επιπτώσεων του συμβάντος και για την αποτροπή παρόμοιων συμβάντων στο μέλλον».
, επειδή δεν εξασφάλισε σωστά τα){kind=link}