For første gang i historien bøtelegger det svenske datatilsynet en skole med 200 000 svenske kroner etter at de skal ha brutt GDPR. Det skriver Computersweden.
En videregående skole i Skellefteå prøvde høsten 2018 å registrere fravær ved hjelp av ansiktsgjenkjenning. Testperioden pågikk i tre uker og berørte 22 elever ved den svenske skolen.
Brøt flere regler
– Skolen har brutt flere regler i personvernforordningen på en måte som gjør at vi nå gir dem bot, sier direktør Lena Lindgren Schelin i Datainspektøren i en kommentar til den svenske nettavisen.
Det svenske datatilsynet konkluderer med at registrering av ansikter er sensitive opplysninger, og krever derfor at skolen lagrer dataene i henhold til regelverket. Det er ikke blitt gjort.
De 22 elevene som deltok i prosjektet hadde selv gitt den svenske skolen tillatelse til å registrere fravær ved hjelp av biometri.
Men Datainspektionen mener samtykket elevene har gitt ikke er godt nok, siden elevene befinner seg i en avhengighetsposisjon til den videregående skolen.
Oslo fikk to millioner i bot
Dette er ikke første gang GDPR har utløst bøter i Norden. I mai ble Oslo kommune bøtelagt med to millioner kroner etter at det ble funnet en sikkerhetsbrist i Skolemelding-appen høsten 2018.
– Vi anser dette som svært alvorlig. Noe som gjenspeiles i at dette er det høyeste gebyret vi har varslet etter at de nye personvernreglene (GDPR) trådte i kraft, sa direktør Bjørn Erik Thon i Datatilsynet til digi.no i mai.
Skolemelding er en app som er utviklet for å gjøre kommunikasjon i Oslo–skolen mer effektiv. Appen gjør det mulig for foresatte og elever å sende direktemeldinger til ansatte i skolen.
6. september 2018 kom det frem at det var mulig for uvedkommende å ta seg inn i systemene til Oslo kommune.
Ved hjelp av hullet kunne uvedkommende fått tilgang til personopplysninger om ansatte, elever og foresatte.
– Sårbarheten som er avdekket innebærer en potensiell tilgang til personopplysninger om Osloskolens mer enn 63 000 grunnskoleelever. Barn er definert som en sårbar gruppe i personvernregelverket da de ikke kan ivareta sine egne rettigheter og friheter selv.
– Det krever et særskilt vern av deres opplysninger. At barn har vært utsatt, har vi lagt vekt på som en skjerpende omstendighet, sa Thon.
