Gymnasieskola får böta för ansiktsigenkänning – bröt mot GDPR

En gymnasieskola i Skellefteå bestämde sig för att testa ansiktsigenkänning i tre veckors tid för att registrera elevers närvaro på lektionerna. Totalt 22 elever berördes av försöket, som enligt Datainspektionen bröt mot flera av bestämmelserna i dataskyddsförordningen. Därför ska gymnasienämnden i Skellefteå nu böta 200 000 kronor.

– Teknik för ansiktsigenkänning är i sin linda men utvecklingen går snabbt. Vi ser därför ett stort behov av att skapa tydlighet kring vad som gäller för alla aktörer, säger Lena Lindgren Schelin, generaldirektör för Datainspektionen i ett uttalande på myndighetens hemsida.

Beslutet är historiskt, eftersom det här är första gången som Datainspektionen dömer ut en sanktionsavgift med stöd av den nya dataskyddsförordningen GDPR, som trädde i kraft förra året. Enligt svensk implementation av GDPR är maxböterna för en myndighet 10 miljoner kronor.

Ansiktsigenkänning är förknippat med extra skyddsvärda personuppgifter. För att få hantera tekniken krävs därför särskilda undantag. Enligt gymnasienämnden i Skellefteå hade de berörda eleverna lämnat samtycke för att använda ansiktsigenkänning för att kolla närvaron. Men det räcker inte anser Datainspektionen, eftersom eleverna befinner sig i beroendeställning till nämnden.

Att kamerabevaka eleverna i deras vardagliga miljö är ett intrång i deras integritet, enligt Datainspektionen. Myndigheten betonar också att det är möjligt att kontrollera närvaron på andra, mindre integritetskränkande sätt, än ansiktsigenkänning.