GDPR-böter för ansiktsigenkänning på skola

Nu har Datainspektionen för första gången utfärdat en sanktionsavgift för brott mot GDPR. En gymnasieskola har använt ansiktsigenkänning via kamera för att registrera elevernas närvaro. Biometriska uppgifter, som används vid ansiktsigenkänning, är känsliga personuppgifter som är extra skyddsvärda. Utgångspunkten är att det är förbjudet att behandla känsliga personuppgifter, utom i undantagsfall, till exempel om det finns ett uttryckligt samtycke.

Skolan hade i detta fall fått elevernas samtycke till att använda ansiktsigenkänning som närvarokontroll. Samtycke kan dock inte användas i detta fall eftersom eleverna är i beroendeställning till skolan. Datainspektionen anser därför att skolans hantering av känsliga uppgifter strider mot GDPR och gymnasieskolan döms därmed att betala en sanktionsavgift på 200 000 kr.

I sitt beslut konstaterar Datainspektionen också att ansiktsigenkänningen inneburit kamerabevakning av eleverna i deras vardagliga miljö, varit ett intrång i deras integritet och att närvarokontroll kan göras på andra sätt som är mindre integritetskränkande än ansiktsigenkänning.