Sverige: Gymnasieskola i Skellefteå bötfälls med 200 000 kr för ansiktsigenkänning

Datainspektionen har utfärdat en sanktionsavgift mot en aktör som har brutit mot reglerna i dataskyddsförordningen (GDPR).

Ärendet gäller en gymnasieskola i Skellefteå som på prov använt ansiktsigenkänning via kamera för att registrera elevers närvaro på lektionerna. Försöket har pågått under tre veckor och berört 22 elever. Datainspektionen har granskat användningen och konstaterar att gymnasienämnden i Skellefteå har hanterat känsliga personuppgifter i strid med dataskyddsförordningen.

Sanktionsavgiften är 200 000 kronor. Avgiftens storlek påverkas bland annat av att det är frågan om en offentlig verksamhet och att det handlar om ett försök som pågått under en begränsad period. Offentliga verksamheter kan maximalt få tio miljoner kronor i sanktionsavgift.

Biometriska uppgifter, som används vid ansiktsigenkänning, utgör enligt dataskyddsförordningen så kallade känsliga personuppgifter. Dessa uppgifter är extra skyddsvärda och det krävs uttryckliga undantag för att få hantera dessa i verksamheten. Gymnasienämnden har meddelat att de har fått elevernas samtycke till att använda ansiktsigenkänning för närvarokontroll.

Datainspektionen konstaterar i sitt beslut att ett samtycke inte kan användas i detta fall. Vidare konstaterar Datainspektionen att ansiktsigenkänningen inneburit kamerabevakning av eleverna i deras vardagliga miljö, att det varit ett intrång i deras integritet och att närvarokontroll kan göras på andra sätt som är mindre integritetskränkande än ansiktsigenkänning.

Läs Datainspektionens beslut i sin helhet här.

Hur påverkas skolor och andra organisationer?

Datainspektionen är tydlig med att biometriska uppgifter, som används vid ansiktsigenkänning, är känsliga personuppgifter. Dessa uppgifter är extra skyddsvärda och det krävs uttryckliga undantag för att få hantera uppgifterna. Detta gäller inte bara för ansiktsigenkänning för närvarokontroll utan för all användning av känsliga personuppgifter som till exempel fingeravtryck, hälsouppgifter eller uppgifter om sexuell läggning.

Att Datainspektionen har valt att utfärda sanktionsavgifter i detta ärande innebär en tydlig markering och visar samtidigt hur myndigheten kommer att hantera liknande fall framöver.

Mer information

Myndighet: Integritetsskyddsmyndigheten (IMY)

Land: Sverige

Lagrum: Art. 5 GDPR, art. 9 GDPR, art. 35 GDPR, art. 36 GDPR, art. 58 GDPR, art. 83 GDPR, 2 kap. 2 § dataskyddslagen

Sanktionsavgift: 200 000 kronor

Mottagare: Gymnasieskola i Skellefteå

Beslutsnummer: DI-2019-2221

Beslutsdatum: 2019-08-20

Källa: Beslut

Relaterade nyheter

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Gå kurs med oss

14 MAR

NIS 2-direktivet – Cybersäkerhet i praktiken

En genomgång av de viktigaste reglerna i NIS2-direktivet och kompletterande svensk lagstiftning.

21 MAR

Introduktion till AI-förordningen

En genomgång av de viktigaste reglerna i den nya AI-förordningen och hur du kan använda AI-system på ett lagenligt sätt.

11 APR

Introduktion till Cyber Resilience Act

En genomgång av Cyber Resilience Act och hur du kan tillverka, distribuera och sälja produkter med digitala element på ett lagenligt sätt.