Första GDPR fallet i Sverige: 200.000 kr

I ett försöksprojekt i Anderstorps gymnasium har ansiktsigenkänning via kamera använts för närvarokontroll. Datainspektionen anser detta vara i strid med dataskyddsförordningen, GDPR, och ålägger Gymnasienämnden i Skellefteå kommun att betala administrativ sanktionsavgift om 200.000 kr för felaktig personuppgiftsbehandling.

Datainspektionen konstaterar att personuppgiftsbehandlingen utförts i strid med artiklarna 5, 9, 35 och 36. I korthet anser Datainspektionen att behandlingen varit mer integritetsingripande än nödvändigt för att uppnå angivet ändamål; att biometriska uppgifter, som är känsliga personuppgifter, har behandlats utan giltigt undantag från förbudet att behandla sådana uppgifter; att ingen konsekvensbedömning avseende dataskydd har utförts och att heller inget förhandssamråd inkommit till Datainspektionen.

Gymnasienämnden ansåg sig ha två lagliga grunder till behandlingen, samtycke och uppgift av allmänt intresse. Samtycke godtogs inte av Datainspektionen, då parterna i denna situation ansågs alltför ojämlika, medan närvarokontroll i gymnasiet ansågs uppfylla kravet på att vara en uppgift av allmänt intresse. Datainspektionen för ett tydligt resonemang angående behandlingens rättsliga grund.

Förutom den administrativa sanktionsavgiften utfärdade även Datainspektionen en varning till Gymnasienämnden i Skellefteå kommun att en fortsatt användning av ansiktsigenkänning för närvarokontroll sannolikt skulle bryta mot artiklarna 5 och 9.

Länk till beslutet på Datainspektionens hemsida här.