Pierwsza kara szwedzkiego DPA

• 16.10.2019

• Autor: Paweł Sobel

• Sankcje, kary finansowe RODO

20 sierpnia tego roku szwedzki organ nadzorczy ds. przetwarzania danych osobowych (Datainspektionen ) nałożył pierwszą karę na podstawie przepisów RODO. Kara 200 000 SEK (około 80 000 złotych) została nałożona na szkołę w miejscowości Skellefteå, która testowała system rejestrujący obecność uczniów za pomocą kamer wyposażonych w funkcję rozpoznawania twarzy.

Założeniem testowanego systemu było zaoszczędzenie czasu koniecznego do sprawdzania listy obecności podczas każdych zajęć lekcyjnych. Wyliczono, że ta prosta czynność powtarzana na każdej lekcji zajmuje przeciętnie około 10 minut. W całym roku szkolnym, rezygnując ze sprawdzania obecności metodą tradycyjną szkoła mogłaby więc zaoszczędzić około 17 tysięcy godzin.

W programie testowym, który trwał zaledwie 3 tygodnie uczestniczyło 22 uczniów,  wszyscy prawni opiekunowie badanej grupy uczniów wyrazili wyraźną zgodę na udział ich podopiecznych w eksperymencie. Przetwarzane dane ograniczały się do zdjęć poszczególnych uczniów oraz ich imienia i nazwiska, które były przechowywane na dysku w zamkniętej szafie bez dostępu do Internetu.

Po przeprowadzeniu audytu kontrolnego Datainspektionen wskazał, że przetwarzanie danych pozyskanych za pomocą systemów wykrywania twarzy (facial recognition systems) stanowi przetwarzanie danych biometrycznych, a więc danych szczególnych kategorii zgodnie z art. 9 RODO. Według organu, uzyskiwana zgoda na udział w programie nie mogła zostać uznana za prawidłową przesłankę przetwarzania danych, ze względu na nierówność stron – szkoły, jako administratora danych oraz ucznia pozostającego w relacji podporządkowania organizacyjnego. Taka nierówność w opinii organu wyłączyła możliwość uznania zgody za dobrowolną, a w rezultacie za skutecznie złożoną.

Drugim zarzutem podniesionym przez szwedzki DPA było naruszenie art. 5 RODO, stanowiącego o minimalizacji zbieranych danych, ograniczeniu celu oraz proporcjonalności przy przetwarzaniu danych. Zgodnie z opinią organu, cel, którym było sprawdzenie obecności uczniów, mógł być z łatwością osiągnięty poprzez użycie środków znacznie mniej inwazyjnych pod względem prywatności. Użycie zatem środków analizujących dane biometryczne było przejawem naruszenia zasady proporcjonalności.

Ponadto organ nadzorczy stwierdził, że dyrekcja szkoły nie spełniła obowiązków wskazanych w art. 35 oraz 36 RODO, a więc nie przeprowadziła prawidłowej oceny skutków naruszenia danych (DPiA) oraz nie spełniła obowiązku uprzedniej konsultacji z organem nadzorczym. Obowiązek przeprowadzenia oceny był w tym przypadku jednoznaczny i wynikał z faktu użycia nowych technologii w celu analizy danych szczególnych kategorii w ramach monitoringu. Założenia programu zawierały co prawda krótką analizę skutków programu, lecz nie uwzględniały analizy ryzyka dla praw i wolności podmiotów, których dane były przetwarzane, oraz nie badały kwestii, czy sposób przetwarzania danych jest niezbędny dla osiągnięcia zamierzonego celu.

Kara szwedzkiego organu być może nie należy do najwyższych, lecz biorąc pod uwagę małą skalę naruszenia (3 tygodniowe monitorowanie obejmujące 22 osoby) może być uznana za dotkliwą. Jest ona jasnym sygnałem, że samo zbieranie zgody nie oznacza możliwości każdego rodzaju przetwarzania danych bez uwzględnienia zasad ograniczenia celu i minimalizacji.

Autor

Paweł Sobel

Doświadczenie zdobywał pracując w uznanych krakowskich kancelariach specjalizujących się w zagadnieniach dotyczących ochrony danych osobowych, prawa własności intelektualnej, prawie medycznym oraz prawie pracy. Brał udział w tworzeniu dokumentacji oraz procedur w ramach wielu projektów wdrożenia RODO.