未合法蒐集學生個人資料  瑞典某學校遭罰2萬克朗

by 李明勳 律師

瑞典某學校施行一項為期3週的測試,針對某一班級的22名學生使用人臉辨識系統,用以了解學生的出勤率。學校聲稱其蒐集學生的敏感性個資前,有取得學生及家長的同意,且該測試亦符合重大公共利益的追求。

但瑞典個資保護專責機關認為基於學校與學生、家長間的不對等地位,該同意應屬無效,縱使了解學生出勤率是追求公共利益,尚不需使用人臉辨識系統;且學校亦未實行資料保護影響評估,有違歐盟個資法GDPR有關「個人資料處理原則」、「特殊類型的個人資料處理」等規定,該學校因此遭罰2萬克朗(約1萬8772歐元、約新台幣65萬2620元)【註1、2】。

是以,提醒我國欲在歐盟成員國進行貿易的企業,應儘速檢視為特定目蒐集歐盟居民的個資時,是否符合GDPR的合法性依據,以及有無進行資料保護影響評估的義務,以免觸法。

 

【註1】https://edpb.europa.eu/news/national-news/2019/facial-recognition-school-renders-swedens-first-gdpr-fine_en

【註2】https://globaldatareview.com/article/1196568/sweden-targets-biometric-data-in-first-gdpr-fining-decision

發佈留言

Close Menu