瑞典的第一个GDPR精细套装调节基调
根据该国的数据保护机构(DPA),瑞典已在一般数据保护条例(GDPR)下发出的首次罚款,该规定(GDPR)施加在上部中学。
有些担心,关于SEK200,000(16,000英镑)的罚款可以使组织更加谨慎地实施数字技术,但是支持DPA的立场。
学校,Anterstorpsskolan在Skellefteå,使用了面部识别技术在一项有限的测试中,识别学生参加课程。学校在瑞典北部进行了几周的测试,跟踪了22名学生。监管机构发现学校的董事会侵犯了GDPR法律。
该DPA主要基于罚款的规模,主要是学校来自地方当局的事实,并且在测试该工具的情况下发生违法行为是有限的。根据立法,罚款,如果合适,可以达到SEK10M。
DPA统治了生物识别是敏感的个人数据,学生的父母曾同意这项运动是不够的。
学校董事会包括来自Skellefteå的地方当局的政客,呼吁瑞典当局和地区(SKL)的支持。
SKL表示数字化技术需要测试,以了解更多关于它们的信息,包括定义其限制,并且不应罚款Anterstorpskolan等学校。
但索菲亚Edvardsen,律师事务所夏普饼干顾问的合伙人表示,DPA对其决定的动机是正确的。“我相信建立一些重要观点,这可能会产生重大影响,超越瑞典市场,”她说。
DPA表示,学校未能在初识审判开始之前进行充分的风险评估。“瑞典DPA似乎要求制定风险评估,符合数据保护影响评估的要求,”Edvardsen表示有趣。““我预计对问责制要求的严格解释。”
德勤的伙伴,彼得比哈尔森伙伴也表示,这是对学校融洽的正确决定。“学校不能将同意作为执行此类个人数据处理的基础,因为有关的辛勤人作为学校的学生,”他说。“这还包括生物识别个人数据的一个方面,这是敏感的个人数据和它的处理应该有限。我们还应该牢记这是儿童的个人数据。“
Birgersson补充说:“可以以许多其他方式检查出勤,仍然使用智能数字技术,但不一定基于生物识别个人数据。相反,可以通过使用学生知道(例如密码)或使用卡来注册出勤。如果学生想要,这些可以改变这些,但生物识别数据是您作为一个人的东西将携带所有的生活。生物识别数据无法更改。“
Birgersson表示,DPA的立场可能被认为是制作数字发展对组织更加困难,但他不同意。“相反,我认为这有助于组织导航如何推动数字发展以及需要在这项工作中采取的保障措施,”他说。“这一裁决不应阻碍数字发展 - 它应该创建一个关于它最佳的对话。”
瑞典的第一个GDPR罚款是一个重要的地标,为监管机构执行立法的方法进行了一个重要的地标。
到目前为止,在欧洲跨越欧洲的GDP的实施远非同质 - 如果在决定在何处建立总部时,如果在国内的大型跨国公司的大型跨国公司的不同立场
在罚款方面,法国采取了最艰难的线路,用CNIL,法国DPA,罚款谷歌€50M,Bouygues电信€250,000,优步€400,000,Dailymotion€50,000欧元,光学中心€250,000。
欧洲国家已展示对征战处罚的不同战略,并建立了不同的结构来实施法规。例如,在德国,DPA在国家级组织 - 但在联邦一级也有一个单独的DPA,涉及电信和邮政服务公司的管辖权。结果是德国有17个数据保护当局,而不是一个。
欧洲国家也遵循他们对一些GDPR更精细的积分的解释。例如,奥地利的调节器统治说,所有数据控制器都必须对数据删除的请求进行响应,是删除对该数据的异化引用。