,

📹First GDPR fine in Sweden: facial recognition at school📹

Facial Recognition under GDPR

For the first time the Swedish Data Protection Authority, Datainspektionen, has issued a fine for violation of the rules introduced by the General Data Protection Regulation, GDPR, towards a school that implemented a facial recognition system to monitor students’ attendance in class.

The GDPR, which was transposed into national legislation by the Swedish Data Protection Act (2018:218), introduces special safeguards and obligations for data controllers who process biometric data, that are used for facial recognition, including for example, the obligation to appoint a Data Protection Officer and to carry out an Data Protection Impact Assessment (Articles 37-35).

The sanction

According to the DPA website, a high school in Skellefteå has used a facial recognition system to monitor students’ attendance at the lessons. The trial has been going on for three weeks and affected 22 students. The Datainspektionen has examined the use of the system and concluded that the High School Board in Skellefteå has processed sensitive personal data in violation of the GDPR (see art. 9 of the Regulation) and it was fined with a sanction of  200.000 SEK (appr 20.000 EURO). The fine is moderate since Skellefteå is a public entity, and that it has only been a limited trial. The maximum fines for public entities in Sweden is 10.000.000 SEK.

In its decision, the DPA finds that facial recognition meant camera surveillance of the students in their everyday environment, which was an intrusion on their integrity and that presence control could have be done in other – less intrusive – ways.

The high school board has stated that they have received the students’ consent to use face recognition for attendance control. However as explained by Ranja Bunni, a lawyer at the DPA who participated in the review, the high school board cannot use consent in this case because the students are in a position of dependence on the board, and therefore the consent cannot be deemed to be valid pursuant to the GDPR.

Conclusion

This fine confirms the EU wide trend of Data Protection Authorities towards biometric data processing, therefore here is my advice:

  1. prior to implementing a facial recognition system all the available alternatives shall be considered adopting a privacy by design and privacy by default approach;
  2. if no alternatives are viable, the data processing shall respect the data minimization principle, collecting as little data as possible and retaining the data for the period of time strictly necessary to pursue the analysis;
  3. when processing biometric data enhanced security measures shall be adopted to guarantee the safety and protection of such precious information;
  4. prior to seeking for data subjects’ consent, you shall consider if consent is a valid legal basis for processing at all in the specific circumstance.

For more info drop me a line via Twitter –  Fb or Telegram  

If you think this information is valuablerepay my effort and share it on your #SocialMedia, Be Influent! 

Also don’t miss my Telegram channel @TechnoLawgy for the latest #Privacy and #TMT news!

, , ,

📧#GDPR: come aggiornare la firma delle email📧

Come tutti sappiamo il 25 Maggio 2018 è finalmente diventato direttamente applicabile il GDPR. Si tratta di un aggiornamento molto importante in tema di Privacy e Protezione dei dati personali, un vero e proprio update 2.0. Negli altri articoli parlo di quali sono i cambiamenti principali e come adeguarsi.

Ecco di seguito un utile suggerimento per iniziare ad adeguare la firma della propria email  (anche alla luce del decreto 101/2018 che recepisce il GDPR e modifica il caro vecchio Codice Privacy)

Continua a leggere

, ,

⚕️#Health&Privacy: i dati sulla pelle sono dati sensibili?

I dati sulla tipologia di pelle sono dati sensibili sulla salute che necessitano di un apposito consenso privacy ai sensi del GDPR? Non sempre. Continua a leggere

, ,

🇪🇺 🇬🇧 BREXIT privacy consequences: EU says no adequacy decision is coming

OK, we all know how the GDPR impacts personal data transfer outside EEA, so …will Brexit make it harder to exchange data with U.K.? Continua a leggere

, ,

Sanzioni Privacy ridotte ai 2/5 del minimo edittale: il Garante spiega come

COSA?

Il 19 Settembre 2018 è ufficialmente entrato in vigore il decreto legislativo 101/2018  che ha coordinato le vecchie norme nazionali in materia di privacy con il GDPR, ed ha introdotto la possibilità di una definzione agevolata dei procedimenti sanzionatori pendenti.  Continua a leggere

, ,

GDPR: Pubblicato il decreto di integrazione!

Dopo la lunga attesa finalmente è stato pubblicato il decreto di implementazione del GDPR.

Occorrerà aspettare il consueto periodo di vacatio legis prima dell’entrata in vigore.

Qui il link al testo in Gazzetta Ufficiale.

 

 

Resta aggiornato sui prossimi articoli seguendomi su Twitter @Tommyricci05 e su Fb 

Se ti è stata utile questa analisi, diffondila condividendo sui tuoi canali #Social, Be Influent!

 

, , ,

DPO: errata notifica al Garante? Ora disponibile il modello di revoca

Il dilemma del DPO, lo nomino o non  lo nomino?

Continua a leggere

, , ,

Facebook fan page admin: what liability under #GDPR?

Facebook fan page operations might lead to considerable privacy compliance issues for companies running them after a recent decision of the ECJ.

Continua a leggere

, , ,

Profilare i clienti senza il loro consenso: le nuove opportunità introdotte dal GDPR

Si possono profilare i clienti senza il loro consenso?

Il nuovo Regolamento privacy europeo 2016/679, a differenza del Codice privacy, disciplina espressamente la profilazione  e prevede diversi scenari applicabili in base al contesto e alle finalità della profilazione. Tra le varie novità introdotte, grazie ad una nuova base legale è possibile profilare i clienti senza il loro consenso, ma a patto che siano rispettate certe condizioni…

Continua a leggere

, , ,

#GDPR Day : come cambiare la tua firma nelle email per essere adeguato

 

Come tutti sappiamo il 25 Maggio 2018 è finalmente diventato direttamente applicabile il GDPR. Si tratta di un aggiornamento molto importante in tema di Privacy e Protezione dei dati personali, un vero e proprio update 2.0. Negli altri articoli parlo di quali sono i cambiamenti principali e come adeguarsi.

Ecco di seguito un utile suggerimento per iniziare ad adeguare la firma della propria email in questo periodo di transizione (il decreto di recepimento che integra il GDPR e modifica il caro vecchio Codice Privacy non è ancora stato pubblicato in Gazzetta Ufficiale)

*** Ho aggiornato l’esempio, per leggere la nuova versione clicca qui ***

Continua a leggere