Vrlo ozbiljnom kaznom od otprilike 20.000 EUR kažnjenja je srednja škola, ali poanta kazne nije u samoj školi već u prikupljanju i načinu korištenja biometrijskih podataka učenika. Jedna švedska srednja škola je u sklopu implementacije inovativnih rješenja uvela pilot projekt prepoznavanja lica učenika sa svrhom praćenja prisutnosti na nastavi.

I sukladno članku 9. GDPR-a, ispunjen je jedan od 9 nužnih preduvjeta, odnosno, iznimki u skladu s kojima se biometrijski podaci uopće smiju obrađivati - izričita privola.

Međutim, škola je zanemarila druge odredbe GDPR-a koje se odnose na definiciju privole kao bezuvjetno izražene slobodne volje pojedinca.

Nadzorno tijelo smatra da u konkretnom slučaju u odnosu škola-učenik nije ispunjen uvjet bezuvjetnosti.

Također, a vrlo važno za slučajeve prikupljanja biometrijskih podataka kao posebnih kategorija osobnih podataka, moralo se voditi brigu da u cilju ostvarenja svrhe praćenja prisutnosti na nastavi postoje i manje invazivne metode, od fizičke provjere od strane nastavnika do npr. RFID kartica i slično.

Odličan je ovo primjer i za naše poslovne subjekte da dobro promisle prije nego uvedu vođenje evidencije radnog vremena putem otisaka prstiju, skena lica ili rožnice i sl., jer za takve svrhe zaista postoje druge metode.

Kazne za kršenje GDPR-a za javne ustanove u Švedskoj zapriječene su do vrlo visokog iznosa od 1 MEUR pa je u ovom slučaju ublažena zbog karaktera ‘pilot projekta’ i ograničenog broja nadziranih učenika.

Detalji su na ovom linku:

https://aigine.se/en/sweden-has-gotten-its-first-gdpr-fine/gdpr/