Den Italienska dataskyddsmyndigheten utfärdar 20 miljoner euro i böter för ett företag som säljer produkter med ansiktsigenkänning. Det var flera personer som lämnade in klagomål.
Böter för ett företag som säljer produkter med ansiktsigenkänning
Det amerikanska företaget ifråga behandlade personuppgifter utan någon laglig grund och informerade inte de registrerade personerna om behandlingen. Personuppgifterna som företaget behandlade var bland annat biometriska och geografiska uppgifter. Dessutom fanns det flera andra delar av GDPR som företaget inte uppfyllde. Exempelvis bröt det amerikanska företaget mot några av de grundläggande dataskyddsprinciperna när det gäller principen om transparens, ändamålsbegränsning och lagringsminimering. Enligt beslutet från den Italienska dataskyddsmyndigheten, får företaget inte längre behandla personuppgifter tillhörande personer inom Italien via ansiktsigenkänning.
När ett företag använder produkter med ansiktsigenkänning behandlar de känsliga personuppgifter (en av fyra grupper av integritetskänsliga personuppgifter) såsom biometriska uppgifter. Därför är reglerna striktare avseende hur företag och organisationer får behandla sådana uppgifter. I Sverige hade en skola använt ansiktsigenkänning vid närvaroregistrering, vilket resulterade i en sanktionsavgift. Om ett företag vill använda produkter med ansiktsigenkänning behöver företaget först göra en konsekvensbedömning och med stor sannolikhet behöver företaget även begära ett förhandssamtal med IMY.
Ett annat företag fick ungefär 120 miljoner kr kronor i sanktionsavgift från den Italienska dataskyddsmyndigheten för otillåten telefonförsäljning. Maxbeloppet på sanktionsavgift som ett företag kan få varierar beroende på överträdelsen av GDPR. I värsta fall kan det uppgå till 20 miljoner euro eller 4 % av årsomsättningen.
