קנס GDPR ראשון בשוודיה - על זיהוי פנים ביומטרי של תלמידי בי"ס

רשות הגנת הפרטיות בשוודיה הטילה לראשונה קנס על הפרת תקנות הגנת המידע האירופאיות (GDPR). הקנס, בסך 200,000 קרונות שוודיות (כ-20,000 דולר), הוטל על מועצת חינוך מקומית שהפעילה ניסוי בבית ספר מקומי בו נוכחותם של תלמידים מנוטרת באמצעות צילום וידאו עם יכולות זיהוי פנים.

הניסוי, שנערך במשך שלושה שבועות וכלל 22 תלמידים, התיימר להסתמך על הסכמת התלמידים שצולמו. עם זה, רשות הגנת הפרטיות הבהירה כי מידע ביומטרי, כגון זיהוי פנים, נחשב ל"קטגוריה מיוחדת של מידע" (special categories of data). ככזה, הסכמה של נושא המידע לפי סעיף 9 ל-GDPR עשויה אמנם להכשיר את איסוף המידע, אולם במקרה של תלמידי בית ספר הסכמתם אינה נחשבת להסכמה חופשית כדרישת ה-GDPR נוכח יחסי התלות ופערי הכוחות בין התלמידים לבין בית הספר. עוד קבע הרגולטור לפרטיות כי התכלית הלגיטימית של ניטור נוכחות תלמידים יכולה להיעשות באמצעים שהם פולשניים פחות לפרטיות התלמידים מאשר זיהוי פנים ביומטרי. מקור: הודעה לעיתונות של רשות הגנת הפרטיות בשוודיה (בשפה השוודית).