U listopadu 2019. godine obrazovnoj agenciji Općine Oslo izrečena je administrativna novčana kazna u iznosu 120 tisuća eura. Razlog kažnjavanja je slaba razina sigurnosti obrade osobnih podataka u mobilnoj aplikaciji Skolemelding. Navedena aplikacija koristi se za komunikaciju između djelatnika škole, roditelja i učenika.

Općina Oslo nije uspostavila primjerene tehničke i organizacijske mjere kojima bi osigurala da je razina sigurnosti u skladu s rizikom. Ključni elementi procjene norveškog nadzornog tijela Datatilsynet bili su sljedeći:

1. Aplikacija, između ostalog, služi da bi roditelji mogli najaviti odsustvo djeteta iz škole zbog bolesti. Navedena funkcionalnost omogućena je putem polja za slobodan unos teksta. Takav slobodan unos omogućuje i komuniciranje posebnih kategorija osobnih podataka, npr. podataka o zdravlju djece. Tehničke mjere kojima bi se spriječio unos takvih informacija nisu implementirane, a ni roditelji nisu upućeni da ih ne šalju. U skladu s načelima tehničke i integrirane zaštite podataka, primjerenije bi bile alternative poput padajućih izbornika ili polja za označavanje.
2. Loša sigurnost prijave na aplikaciju omogućila je neovlaštenim osobama pristup i mijenjanje osobnih podataka djece. Povredom je zahvaćeno više od 63 tisuće učenika od prvog do desetog razreda.
3. Zbog neadekvatnog sigurnosnog testiranja prije lansiranja, aplikacija je sadržavala poznate sigurnosne ranjivosti. Zbog toga je Datatilsynet prethodno najavio namjeru izricanja kazne u iznosu 200 tisuća eura. Konačna kazna ipak je umanjena na 120 tisuća eura jer je Općina Oslo pokazala spremnog za rješavanje problema. Čim su postali svjesni sigurnosnog propusta, proveli su mjere za ograničavanje štete. Općina Oslo nije se žalila na ovu odluku.

Originalni članak dostupan je na edpb.europa.eu.