Autoritatea de supraveghere a protecției datelor din Islanda a aplicat o amendă de 23.100 euro societății InfoMentor pentru că aceasta nu a adoptat măsuri adecvate de securitate și protecție a datelor utilizate în programul Mentor, un sistem informatic destinat școlilor și altor entități a căror activitate este adresată copiilor.
Vulnerabilitatea din sistemul informatic care a condus la breșa de securitate a fost următoarea: în adresa URL a uneia dintre paginile sistemului Mentor numărul alocat de sistem fiecărui utilizator a fost vizibil, astfel că persoane neautorizate au avut acces la numărele de identificare naționale (echivalentul CNP) și la avatarele a peste 400 de copii. Deși vulnerabilitatea a fost constatată de operator și remediată din punct de vedere tehnic, din cauza unei erori umane soluția tehnică nu a fost integral implementată decât după ce a intervenit breșa de securitate mai sus-menționată.
În încercarea de a gestiona breșa de securitate, InfoMentor a notificat autoritatea de supraveghere și a transmis din greșeală lista numerelor de identificare naționale ale elevilor afectați către alte școli și către alți responsabili cu protecția datelor decât cei vizați.
Deși nu au existat dovezi că drepturile sau interesele copiilor ar fi fost afectate de această breșă, decizia de aplicare a amenzii a fost în principal fundamentată pe următoarele elemente:
- Numărul persoanelor vizate afectate direct și care ar fi putut fi afectate de breșa de securitate
- Faptul că persoanele vizate au fost copii, aceștia fiind considerate persoane vulnerabile in lumina GDPR, care se bucură de o protecție mai ridicată decât alte persoane vizate
- Faptul că activitatea principală a InfoMentor o reprezintă devoltarea unui sistem informatic destinat școlilor și altor entități a căror activitate este adresată copiilor.
Informații detaliate pot fi consultate pe site-ul autorității de supraveghere islandeze, iar textul integral al deciziei de sancționare poate fi consultat aici: https://www.personuvernd.is/information-in-english/greinar/personal-data-breach-in-the-information-system-mentor-administrative-fine