Den italienska dataskyddsmyndigheten, Garante per la protezione dei dati personali (“Garante”), har bötfällt Luigi Bocconi-universitetet med 200 000 euro för brott mot artiklarna 5.1 (a), 5.1 (c), 9, 12, 13, 25, 28, 35, 44 och 46 i dataskyddsförordningen (“GDPR”).
Av beslutet framgår att Luigi Bocconi-universitetet använt den amerikanska programvaran Respondus för att övervaka tentamen på distans under COVID-19-pandemin. Efter en genomgång av ärendet konstaterade Garante att studenterna inte blivit tillräckligt informerade om den behandling av personuppgifter som genomfördes av Respondus, vilket strider mot artiklarna 5.1 (a), 12 och 13 GDPR. Enligt Garante har Respondus bland annat spårat studenternas beteende under tentamen, inklusive studenternas ansiktsposition och om studenterna stängt av internetuppkopplingen, behandlat studenternas personuppgifter genom profilering, spelat in ljud och bild under hela tentamenstillfället samt sparat det foto som tagits av studenterna i början av tentamen.
Med hänsyn till bland annat mängden information som samlats in om studenterna under tentamen, som översteg vad som var strikt nödvändigt för genomförandet av tentamen, konstaterade Garante att Luigi Bocconi-universitetet brutit mot både principerna för uppgiftsminimering enligt artikel 5.1 (c) och inbyggt dataskydd (“Privacy by Design”) och dataskydd och standard (“Privacy by Default”) enligt artikel 25 GDPR. Därutöver konstaterade Garante att Luigi Bocconi-universitetet underlåtit att genomföra en konsekvensbedömning avseende dataskydd (“DPIA”) där universitetet bland annat tittat på proportionaliteten och nödvändigheten av personuppgiftsbehandlingen som utfördes av Respondus, vilket strider mot artikel 35 GDPR.
Garante ansåg vidare att Luigi Bocconi-universitetet inte haft en rättslig grund enligt artikel 9 GDPR för behandlingen av biometriska uppgifter i Respondus. Enligt Garante har Luigi Bocconi-universitetet åberopat ett uttryckligt samtycke som rättslig grund för personuppgiftsbehandlingen, något som myndigheten inte ansett vara lämpligt mot bakgrund av den maktobalans som finns mellan universitetet och studenterna.
Garante konstaterade också att de personuppgifter som överförts till Respondus, ett företag etablerat i USA och som behandlar personuppgifterna i egenskap av personuppgiftsbiträde enligt ett personuppgiftsbiträdesavtal, inte haft ett adekvat skydd enligt GDPR. Enligt Garante ska personuppgiftsansvariga som baserar överföringar på EU-kommissionens standardavtalsklausuler (“SCC”), efter EU-domstolens beslut i Schrems II-målet (C-311/18), självmant kontrollera att mottagarlandets dataskyddslagar garanterar ett adekvat skydd för personuppgifterna. Luigi Bocconi-universitetets dokumentation i frågan innehåller enligt Garante inte bevis som visar att överföringen av eleverans personuppgifter lever upp till kraven i GDPR.
Garante konstaterade vidare att samma överväganden var tillämpliga på överföring av elevernas personuppgifter till Respondus underbiträde Amazon Web Services Inc., som också är etablerade i USA. Enligt Garant har Luigi Bocconi-universitetet därmed överfört personuppgifter till ett tredjeland, USA, utan att ha bevisat att universitetet verifierat och säkerställt att överföringen i fråga genomförts i enlighet med villkoren i kapitel V i GDPR, vilket är ett brott mot artiklarna 44 och 46 GDPR.
Vid beräkningen av bötesbeloppet på 200 000 euro framhöll Garante särskilt att myndigheten beaktat det faktum att universitetet, inom ramen för COVID-19-pandemin, blivit tvungna att göra val och att snabbt vidta tekniska och organisatoriska åtgärder för att säkerställa kontinuiteten av undervisningsverksamheten och genomförandet av tentamenstillfällen. Vidare framhöll Garante att konsekvenserna av rättsprinciperna från Schrems II-målet är komplexa att genomföra och att den rättsliga ramen för internationella överföringar fortfarande utvecklas.