Sanktionsavgift för ansiktsigenkänning i skola

Datainspektionen har utfärdat en sanktionsavgift mot en aktör som har brutit mot reglerna i dataskyddsförordningen (GDPR).

Ärendet gäller en gymnasieskola i Skellefteå som på prov använt ansiktsigenkänning via kamera för att registrera elevers närvaro på lektionerna. Försöket har pågått under tre veckor och berört 22 elever. Datainspektionen har granskat användningen och konstaterar att gymnasienämnden i Skellefteå har hanterat känsliga personuppgifter i strid med dataskyddsförordningen.

Sanktionsavgiften är 200 000 kronor. Avgiftens storlek påverkas bland annat av att det är frågan om en offentlig verksamhet och att det handlar om ett försök som pågått under en begränsad period. Offentliga verksamheter kan maximalt få tio miljoner kronor i sanktionsavgift.

Biometriska uppgifter, som används vid ansiktsigenkänning, utgör enligt dataskyddsförordningen så kallade känsliga personuppgifter. Dessa uppgifter är extra skyddsvärda och det krävs uttryckliga undantag för att få hantera dessa i verksamheten. Gymnasienämnden har meddelat att de har fått elevernas samtycke till att använda ansiktsigenkänning för närvarokontroll.

Datainspektionen konstaterar i sitt beslut att ett samtycke inte kan användas i detta fall. Vidare konstaterar Datainspektionen att ansiktsigenkänningen inneburit kamerabevakning av eleverna i deras vardagliga miljö, att det varit ett intrång i deras integritet och att närvarokontroll kan göras på andra sätt som är mindre integritetskränkande än ansiktsigenkänning.

Läs Datainspektionens beslut i sin helhet här.

Läs Datainspektionens pressmeddelande här.

Hur påverkas skolor och andra organisationer?

Datainspektionen är tydlig med att biometriska uppgifter, som används vid ansiktsigenkänning, är känsliga personuppgifter. Dessa uppgifter är extra skyddsvärda och det krävs uttryckliga undantag för att få hantera uppgifterna. Detta gäller inte bara för ansiktsigenkänning för närvarokontroll utan för all användning av känsliga personuppgifter som till exempel fingeravtryck, hälsouppgifter eller uppgifter om sexuell läggning.

Att Datainspektionen har valt att utfärda sanktionsavgifter i detta ärande innebär en tydlig markering och visar samtidigt hur myndigheten kommer att hantera liknande fall framöver.

Vad kan jag göra nu?

Skolor och andra organisationer bör se över hur de hantera ny teknologi som ansiktsigenkänning och hitta en lämplig rättslig grund för sådana behandlingar. Om det inte är möjligt att hitta en rättslig grund bör man hitta mindre ingripande sätt att åstadkomma det önskade resultat.

TechLaw erbjuder en kurs om personuppgiftshantering i skolan som tar dig genom de viktigaste punkterna.

–Carina Sigridsson, carina@techlaw.se, 070 695 35 11

Söker du en expert inom IT, teknik och digitalisering?