瑞典某學校施行一項為期3週的測試,針對某一班級的22名學生使用人臉辨識系統,用以了解學生的出勤率。學校聲稱其蒐集學生的敏感性個資前,有取得學生及家長的同意,且該測試亦符合重大公共利益的追求。
但瑞典個資保護專責機關認為基於學校與學生、家長間的不對等地位,該同意應屬無效,縱使了解學生出勤率是追求公共利益,尚不需使用人臉辨識系統;且學校亦未實行資料保護影響評估,有違歐盟個資法GDPR有關「個人資料處理原則」、「特殊類型的個人資料處理」等規定,該學校因此遭罰2萬克朗(約1萬8772歐元、約新台幣65萬2620元)【註1、2】。
是以,提醒我國欲在歐盟成員國進行貿易的企業,應儘速檢視為特定目蒐集歐盟居民的個資時,是否符合GDPR的合法性依據,以及有無進行資料保護影響評估的義務,以免觸法。
