Datainspektionen har utfärdat en sanktionsavgift mot en aktör som har brutit mot reglerna i dataskyddsförordningen (GDPR).
Ärendet gäller en gymnasieskola i Skellefteå som på prov använt ansiktsigenkänning via kamera för att registrera elevers närvaro på lektionerna. Försöket har pågått under tre veckor och berört 22 elever. Datainspektionen har granskat användningen och konstaterar att gymnasienämnden i Skellefteå har hanterat känsliga personuppgifter i strid med dataskyddsförordningen.
Sanktionsavgiften är 200 000 kronor. Avgiftens storlek påverkas bland annat av att det är frågan om en offentlig verksamhet och att det handlar om ett försök som pågått under en begränsad period. Offentliga verksamheter kan maximalt få tio miljoner kronor i sanktionsavgift.
Biometriska uppgifter, som används vid ansiktsigenkänning, utgör enligt dataskyddsförordningen så kallade känsliga personuppgifter. Dessa uppgifter är extra skyddsvärda och det krävs uttryckliga undantag för att få hantera dessa i verksamheten. Gymnasienämnden har meddelat att de har fått elevernas samtycke till att använda ansiktsigenkänning för närvarokontroll.
Datainspektionen konstaterar i sitt beslut att ett samtycke inte kan användas i detta fall. Vidare konstaterar Datainspektionen att ansiktsigenkänningen inneburit kamerabevakning av eleverna i deras vardagliga miljö, att det varit ett intrång i deras integritet och att närvarokontroll kan göras på andra sätt som är mindre integritetskränkande än ansiktsigenkänning.
Läs Datainspektionens beslut i sin helhet här.
Hur påverkas skolor och andra organisationer?
Datainspektionen är tydlig med att biometriska uppgifter, som används vid ansiktsigenkänning, är känsliga personuppgifter. Dessa uppgifter är extra skyddsvärda och det krävs uttryckliga undantag för att få hantera uppgifterna. Detta gäller inte bara för ansiktsigenkänning för närvarokontroll utan för all användning av känsliga personuppgifter som till exempel fingeravtryck, hälsouppgifter eller uppgifter om sexuell läggning.
Att Datainspektionen har valt att utfärda sanktionsavgifter i detta ärande innebär en tydlig markering och visar samtidigt hur myndigheten kommer att hantera liknande fall framöver.