Digiturvatulkki

takaisin etusivulle

Ruotsalaiskoulu kokeili kasvojentunnistusta läsnäolovalvontaan – sai yli 20 000 euron sakot

Tulkkaamme caseja, joissa digiturva on syystä tai toisesta pettänyt.
Tulkkaamme ilmiöitä, jotka vaikuttavat digiturvan toteuttamiseen.
Tulkkaamme teknologiauutisia, joilla on vaikutuksia digiturvaan.
case
ilmiö
teknologia
gdpr-sakko
tietosuoja
kasvontunnistus
GDPR

Tulkattava artikkeli

Viitattu
26.8.2019
osoitteessa
https://yle.fi/uutiset/3-10932338
Ruotsin Skellefteån kunnassa sijaitseva lukio sai tuntuvat sakot tietosuojan rikkomisesta, kun se alkoi seuraamaan oppilaiden poissaoloa kasvojentunnistuksen avulla. Koulun oppilaat kävelivät kasvojentunnistuskameran ohi astuessaan luokkaan. Oppilailta oli saatu suostumus teknologian käyttöön. Ruotsin tietosuojavaltuutettu Datainspektion tulkitsi kuitenkin, ettei suostumus ollut käypä, sillä oppilaat ovat riippuvaisuussuhteessa kouluun.
Lue koko alkuperäinen artikkeli

Tiivistelmä

eli avainasiat yläpuolen artikkelista
Ruotsissa annettiin ensimmäinen GDPR-sakko (n. 20t€) Skellefteån koululle. Koulu oli kokeilemassa kasvojentunnistusta läsnäolon valvontaan. Suostumus käsittelylle oli kyllä kysytty, muttei viranomaisen mielestä kelvannut oikeusperusteeksi oppilaiden ja koulun välillä.

Tulkin kommentit

Tiivistämme uutisten ydinsisällön ja opetukset selkokielellä.

Tietosuoja-asetus sanoo, että jokaisella henkilötietojen käyttötarkoituksella on oltava oikeusperuste. Koulu käytti tässä tapauksessa rekisteröidyiltä (koululaiset) saatua suostumusta oikeusperusteena rekisterinpitäjän (koulu) toteuttamalle henkilötietojen käyttötarkoitukselle (läsnäolojen valvonta).

Sensitiivisyyttä tapaukseen lisää se, että henkilötietojen käsittely toteutettiin hyödyntäen uudenlaista teknologiaa (kasvontunnistus) ja toteutustapaa, jolle olisi varmasti huomattavasti vähemmän rekisteröityjen yksityisyyteen puuttuvia vaihtoehtoja. Tietosuoja-asetus puhuu nimittäin myös tietojen minimoinnista, jonka mukaan käsiteltävien henkilötietojen (mm. kasvokuvat rekisteröidyistä) määrä ei saa olla liiallinen suhteessa käsittelyn tarkoituksiin.

Mikä meni pieleen?
Suostumus ei aina ole korrekti peruste henkilötietojen käsittelylle

Suostumuksen on oltava "vapaasti annettu", eli henkilöllä on oltava oikeus myös olla antamatta suostumusta. Mikäli rekisteröity kokee olevansa pakotettu suostumaan käsittelyyn, suostumuksen edellytykset eivät täyty. Tällainen tilanne voi usein olla kyseessä, kun rekisteröidyn ja rekisterinpitäjän välillä on selkeä epäsuhta (esim. koulu ja koululainen, työnantaja ja työntekijä).

Suostumuksen edellytykset tulee tuntea ja niiden kanssa olla tarkkana. Usein voi olla järkevämpää etsiä muita sopivia oikeusperusteita.

GDPR:n noudattaminen ei ole vain teknisiä tekoja

Henkilötietojen oikeaoppinen käsittely vaatii rekisteröidyn asemaan asettumista. Vaikka käytetyt tietojärjestelmät ja käsittely teknisestä näkökulmasta olisi suunniteltu mahdollisimman hyvin, muista tietosuojaperiaatteista on myös pidettävä tarkkaa huolta. Tässä petti tietosuoja-asetuksen esittämä ensimmäinen henkilötietojen käsittelyn periaate, joka vaatii käsittelyn olevan lainmukaista ja kohtuullista.

Kuinka vältät vastaavan?
Huomioita ja vinkkejä
Päätös oli tiukka viesti tietosuojaviranomaisilta

Vaikka kasvontunnistus oli koulussa vasta kokeiluasteella (käytössä n. 3 viikkoa ja 22 oppilaan joukolla), viranomaiset puuttuivat asiaan heti ja tekivät päätöksensä pikaisesti.

case
ilmiö
teknologia
gdpr-sakko
tietosuoja
kasvontunnistus
GDPR