Rafał Kosuń

Rafał Kosuń

Analityk biznesowy, specjalista RODO, bezpieczeństwa danych, audytor wiodący ISO, Inspektor Ochrony Danych

Kara z RODO dla szkoły w Szwecji

Szwecki organ nadzorczy nałożył pierwszą karę za nieprzestrzeganie przepisów RODO.  Trafiła ona do liceum Anderstorp w miejscowości Skellefteå. Rada szkoły przeprowadziła okresowy, trwający 3 tygodnie test, polegający na monitorowaniu obecności wyselekcjonowanych uczniów za pomocą technologii rozpoznawania twarzy. 

Każdy z 22 uczniów biorących udział w badaniu filmowany był kamerą po wejściu do klasy a obraz porównywany był z wcześniej zarejestrowanym wizerunkiem każdego uczestnika badania. Szkoła odebrała zgody od opiekunów uczniów na przeprowadzenie badania dając jednocześnie możliwość niewyrażenia zgody na rejestrację wizerunku. Dane biometryczne trafiały na wyselekcjonowany komputer lokalny przechowywany w zamkniętym pomieszczeniu, który nie był podłączony do Internetu. Celem wdrożenia nowej technologii było usprawnienie i uproszczenie ustalania frekwencji na lekcjach. Dotychczasowe, klasyczne sprawdzanie obecności trwało ok 10 minut i wdrażając nową technologię szacowano oszczędność czasu na poziomie 17280 godzin rocznie.

Mimo tego, że przetwarzanie danych w celu sprawdzania obecności jest możliwe, to rozpoznawanie twarzy jest nieproporcjonalne w stosunku do tego celu. Organ nadzorczy uznał, że przetwarzano dane biometryczne uczniów, dlatego zastosowanie powinien mieć art. 9 RODO. Ponadto władze argumentowały, że zgody nie można zastosować, ponieważ studenci i ich opiekunowie nie mogą swobodnie decydować, czy ich dzieci będą monitorowane pod kątem obecności. W trakcie kontroli organ nadzorczy uznał, że w tym konkretnym przypadku szkoła nie może powoływać się na którekolwiek z wyjątków wymienionych w art. 9 ust. 2 RODO. Organ nadzorczy stwierdził również, że miał miejsce przypadek przetwarzania o wysokim ryzyku, ponieważ zastosowano nową technologię do przetwarzania wrażliwych danych osobowych dotyczących dzieci, które znajdują się w pozycji zależnej od rady szkoły i. W opinii organu zarząd szkoły nie był w stanie wykazać zgodności z art. 35 RODO (nie przeprowadził oceny skutków dla ochrony danych – DPIA) oraz że nie skonsultował swojego zamiaru z organem nadzorczym zgodnie z art. 36 (1) RODO.

Share on facebook
Share on twitter
Share on linkedin

Skontaktuj się z nami

Podane przez Ciebie dane osobowe wykorzystamy tylko do udzielenia odpowiedzi na Twoje pytania. Podanie danych jest dobrowolne, ale ich niepodanie uniemożliwi nam prowadzenie z Tobą korespondencji. Administratorem Twoich danych osobowych jest DataLex Rafał Kosuń z siedzibą w 32-566 Brodła, ul. Środkowa 4. Przysługują Ci prawa: dostępu do danych, ich sprostowania, usunięcia lub ograniczenia przetwarzania, przenoszenia i wniesienia sprzeciwu oraz wniesienia skargi do organu nadzorczego. Po szczegóły zapraszamy do naszej Polityki prywatności.
  • Twoje dane są u nas bezpieczne
  • Nie wysyłamy spamu
  • Zawsze sprawnie odpowiadamy
  • Przestrzegamy Twoich praw
  • Administratorem Twoich danych osobowych jest DataLex z siedzibą w 32-566 Brodła, ul. Środkowa 4.
  • Twoje dane osobowe wysłane za pomocą powyższego formularza przetwarzać będziemy w celu prowadzenia z Tobą korespondencji, odpowiedzi na ewentualne pytania oraz wykonania wyraźnych próśb zawartych przez Ciebie w wiadomościach.
  • Cel wynika z prawnie uzasadnionych interesów administratora na podstawie art. 6 ust. 1 lit. f Rozporządzenia Ogólnego o Ochronie Danych Osobowych z dnia 27 kwietnia 2016 r. (RODO).
  • Odbiorcami Twoich danych osobowych mogą być wyłącznie podmioty świadczące na naszą rzecz usługi wsparcia, tj. dostawcy usług IT i inne firmy usługowe, tylko na podstawie zawartych umów i na wyraźne polecenie administratora a także podmioty uprawnione do dostępu do danych osobowych na podstawie przepisów prawa. Aktualnie mogą to być firmy: Progreso, która świadczy dla nas usługi hostingu oraz Google LLC, której usługi wykorzystujemy do naszej bieżącej działalności.
  • Twoje dane osobowe przetwarzać będziemy, dopóki istnieć będzie potrzeba kontaktu, jak również w celu archiwizacji korespondencji do czasu istnienia tej potrzeby po naszej stronie, nie dłużej niż 5 lat z upływem na koniec roku kalendarzowego w którym wypada usunięcie danych ponieważ dane tego typu usuwamy w grudniu każdego roku lub też do czasu realizacji wniesionego przez Ciebie sprzeciwu lub żądania usunięcia danych.
  • Podanie przez Ciebie danych osobowych jest dobrowolne, ale konieczne w celu prowadzenia korespondencji, dlatego w formularzu wymagamy podania co najmniej Twojego imienia i/lub nazwiska, adresu e-mail lub nr telefonu kontaktowego.
  • Masz prawo żądania dostępu do treści swoich danych, sprostowania, usunięcia, ograniczenia przetwarzania, przenoszenia, wniesienia sprzeciwu w stosunku do danych osobowych, których podanie jest dobrowolne. Przykładamy ogromną wagę do bezpieczeństwa Twoich danych, jeśli jednak uznasz, że przetwarzając dane naruszamy przepisy, masz prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.
  • Jeżeli masz jakiekolwiek pytania odnośnie przetwarzania przez nas Twoich danych osobowych, w tym praw jakie Ci w związku z tym przysługują, możesz się z nami skontaktować pisząc na adres: rodo@datalex.pl lub telefonicznie: +48663307507.

Przeczytaj inne nasze artykuły