Lag & Upphovsrätt

Första GDPR-böterna till skola: använde ansiktsigenkänning

Bilden har inget med den aktuella händelsen att göra.

En skola i Skellefteå ska betala 200 000 kronor i böter för att ha använt kameror med ansiktsigenkänning för att registrera elevnärvaro.

Det har länge pratats om hur och till vem den första GDPR-boten skulle delas ut. Nu har myndigheten Datainspektionen konstaterat böter i det första fallet inom GDRP, som går till den kommunala gymnasieskolan Anderstorpsgymnasiet i Skellefteå. Skolan har överträtt flera av bestämmelserna i dataskyddsförordningen.

Skolan hade för avsikt att minska lärarnas administration, varvid skolan testade sig av att använda ansiktsigenkänning kombinerat med taggar och appar för att registrera 22 elevers närvaro i skolan, under totalt tre veckor.

– Gymnasienämnden i Skellefteå har överträtt flera av bestämmelserna i dataskyddsförordningen på ett sätt som gör att vi nu utfärdar en sanktionsavgift, säger Lena Lindgren Schelin, generaldirektör för Datainspektionen kring händelsen.

Sanktionsavgiften är 200 000 kronor, och storleken påverkas av att det är frågan om en myndighet samt att det handlar om ett försök under en begränsad tidsperiod. Myndigheter kan maximalt få tio miljoner kronor i sanktionsavgift.

Ett intrång i integriteten

I beslutet konstaterar Datainspektionen att ansiktsigenkänningen inneburit "kamerabevakning av eleverna i deras vardagliga miljö", något som ska ha varit ett intrång i deras integritet, trots att man fått elevernas samtycke att använda metoden med ansiktsigenkänning för närvarokontroll.

Datainspektionen menar även att närvarokontroll kan göras på andra sätt som är mindre integritetskränkande än just ansiktsigenkänning.

– Gymnasienämnden kan inte använda samtycke i det här fallet eftersom eleverna befinner sig i beroendeställning till nämnden, förklarar Ranja Bunni som är jurist på Datainspektionen som deltagit i granskningen av ärendet.

Fotoförbud, GDPR upphovsrätt

GDPR i korthet

Enligt den nya integritetslagen GDPR har du som privatperson möjlighet att ta del av vilka personuppgifter ett företag eller en organisation har om dig.

Lagen styr sedan över själva behandlingen av uppgifterna, vilket omfattar alla åtgärder som vidtas med personuppgiften, från registrering – i fotografens fall när man trycker på knappen – fram till det att uppgifterna tas bort, som när bilder raderas från ett minneskort eller en hårddisk. Hela den hanteringen kräver tillstånd, det är utgångspunkten i GDPR, men är undantaget privatpersoner samt fotografering i konstnärligt eller journalistiskt syfte.