Öryggisbrestur hjá S.Á.Á. - Sektarákvörðun
Persónuvernd hefur lagt stjórnvaldssekt, að fjárhæð 3.000.000 krónur, á S.Á.Á. vegna öryggisbrests sem átti sér stað haustið 2018. Öryggisbresturinn varð með þeim hætti að starfsmaður, sem hætti störfum hjá S.Á.Á. árið áður, átti að fá afhenta kassa með persónulegum gögnum. Við afhendinguna fékk hann hins vegar einnig í hendur verulegt magn sjúklingaupplýsinga, en þar á meðal voru innritunarbækur með nöfnum um 3.000 sjúklinga og ítarlegar sjúkraskrárupplýsingar um 252 einstaklinga.
Var það mat Persónuverndar að afhending sjúkraskrárgagnanna væri afleiðing af skorti á tæknilegum og skipulagslegum ráðstöfunum af hálfu S.Á.Á. til að tryggja öryggi persónuupplýsinga. Í ljósi þess var talið að brotið hefði verið gegn meðal annars f-lið 1. mgr. 5. gr. og 32. gr. reglugerðar (ESB) 2016/679.
Við ákvörðun sektarinnar var meðal annars litið til þess að um viðkvæmar persónuupplýsingar var að ræða og umfangs þeirrar vinnslu sem um ræddi. Á hinn bóginn var einnig litið til þess að um er að ræða samtök sem vinna að almannaheillum, starfa ekki í fjárhagslegum tilgangi og leggja sjálfsaflafé til heilbrigðisþjónustu sem er opin almenningi. Þá var litið til þess að mikil umbótavinna hafði verið unnin innan S.Á.Á. til að uppfylla kröfur persónuverndarlöggjafar, en hún hófst áður en öryggisbresturinn komst upp. Að teknu tilliti til þessara þátta var S.Á.Á. gert að greiða 3.000.000 króna stjórnvaldssekt.