Španělský AEPD udělil univerzitě pokutu 160 000 eur za biometrické ověřování studentů při online zkouškách
Španělský dozorový úřad pro ochranu osobních údajů (AEPD) uložil soukromé Universitat Europea de València pokutu 160 000 eur za nezákonné zpracování biometrických údajů (rozpoznávání obličeje) při vzdálených zkouškách.
Univerzita v roce 2024 zavedla systém online proctoringu, který vyžadoval od studentů biometrický sken obličeje k ověření totožnosti. AEPD shledal dva hlavní nedostatky:
- Chybějící platný právní základ pro zpracování zvláštní kategorie údajů podle čl. 9 GDPR. Souhlas studentů nebyl svobodný, protože neexistovala reálná alternativa bez biometrie.
- Absence posouzení vlivu na ochranu osobních údajů (DPIA) podle čl. 35 GDPR, které je u biometrického zpracování povinné.
Původně navrhovaná pokuta činila 200 000 eur, konečná výše byla snížena díky spolupráci univerzity.
Rozhodnutí nezakazuje online proctoring jako takový, ale jasně ukazuje, že biometrické rozpoznávání obličeje je vysoce invazivní metoda, kterou nelze používat bez řádného právního základu a DPIA. Úřad zdůraznil, že by měly být upřednostňovány méně invazivní alternativy (např. institucionální přihlášení s vícefaktorovou autentizací).
Případ je důležitým precedentem pro všechny vzdělávací instituce i komerční subjekty, které uvažují o nasazení biometrie pro ověřování identity.
Zdroj
Další články
Evropská komise představila aplikaci pro ověřování věku online založenou na principu nulové znalosti
NÚKIB: Přehled kybernetických incidentů za březen 2026
