a norvég adatvédelmi hatóság mintegy 123.656,- eurós bírságot szabott ki a Norvég Olimpiai és Paralimpiai Bizottságra és a Sportági Szövetségre (NIF) egy adatvédelmi incidens miatt, amelynek során 3,2 millió ember (ebből csaknem félmillió 3-17 éves gyermek) személyes adatai kerültek nyilvánosságra az interneten?
Az adatvédelmi incidens a NIF a korábbi megoldás az Azure-ra váltása után történt és egy olyan szolgáltatás teszteléséhez kapcsolódott, amely a tagok adminisztrációját volt hivatott javítani. A valós adatokon tesztelés előtt nem végeztek megfelelő kockázatértékelést, és azt sem vizsgálták, hogy lehetséges-e anonimizált adatokat, illetve kevesebb adatot használni. A személyes adatok 87 napig voltak kint a neten és nem tudni, hogy valaki ténylegesen kihasználta-e az adatszivárgást.
Az adatvédelmi hatóság megállapította, hogy
- a tesztelésre megfelelő kockázatértékelés nélkül került sor;
- a NIF nem rendelkezett a személyes adatok megfelelő védelmét szolgáló rutinokkal és biztonsági intézkedésekkel;
- az adatkezelés célja („új megoldások tesztelése a tagok adminisztrációja számára”) kevésbé beavatkozó módon – például szintetikus adatok feldolgozásával, illetve lényegesen kevesebb személyes adat feldolgozásával – is megvalósítható lett volna,
- a NIF-nek korlátoznia kellett volna az érintettek azon kategóriáit is, amelyeken a tesztelést végezték;
- a NIF nem rendelkezett sem megfelelő adatkezelési céllal, sem jogalappal.