Datainspektionen ilegger sitt første overtredelsesgebyr etter GDPR

Det svenske datatilsynet, Datainspektionen, har ilagt Skellefteå kommune et overtredelsesgebyr på 200 000 svenske kroner. Bakgrunnen er at en videregående skole i kommunen har testet ansiktsgjenkjenning for å registrere elevers oppmøte.

Den videregående skolen har testet ut ansiktsgjenkjenningskamera for å registrere elevers oppmøte i skoletimene. Forsøket pågikk i tre uker og berørte 22 elever. Datainspektionen har konkludert at skolen har behandlet særlige kategorier av personopplysninger i strid med personvernforordningen.

Les Datainspektionens pressemelding om saken.

Biometriske personopplysninger, som brukes ved ansiktsgjenkjenning, er en særlig kategori av personopplysninger som nyter et særskilt vern under personvernforordningen. Det er kun i uttrykkelig angitte unntakssituasjoner det er lov å behandle slike opplysninger.

Skolenemnden i kommunen opplyser at de har innhentet elevenes samtykke for å bruke ansiktsgjenkjenning til å kontrollere oppmøte. Datainspektionen slår imidlertid fast at man ikke kan bruke samtykke i en slik situasjon, ettersom elevene befinner seg i en avhengighetssituasjon overfor skolen. Datainspektionen konstaterer at ansiktsgjenkjenningen innebar kameraovervåking av elevene i deres daglige miljø, at den var et inngrep i deres integritet og at oppmøtekontroll kan gjøres på andre og mindre inngripende måter.

Størrelsen på overtredelsesgebyret, 200 000 svenske kroner, ble blant annet fastsatt ut ifra at det her var tale om en offentlig myndighet og at det gjaldt et forsøk i en begrenset periode.

Ansiktsgjenkjenning er i sin startfase, men utviklingen går fort. Datatilsynet følger med på utviklingen, og jobber også med veiledning om biometri og ansiktsgjenkjenning.

Les vår veileder om biometri.

21