Första GDPR-sanktionsavgiften från Datainspektionen
Datainspektionen har för första gången utfärdat en sanktionsavgift för brott mot dataskyddsförordningen. Gymnasienämnden i Skellefteå kommun varnas och måste betala 200 000 kronor efter att en gymnasieskola i ett försöksprojekt använt sig av ansiktsigenkänning via kamera för att registrera elevers närvaro i några veckor.
Datainspektionen konstaterar att skolan behandlat personuppgifter i strid med artikel 5 (för ingripande och omfattande behandling än nödvändigt), artikel 9 (behandling av känsliga uppgifter - biometriska - utan giltig undantag från förbudet mot behandling av sådana uppgifter) och artiklarna 35 och 36 (krav för konsekvensbedömning ej uppfyllda; inget förhandssamråd till Datainspektionen).
I sitt yttrande skrev Gymnasienämnden bland annat att samtycke inhämtats från vårdnadshavare och att deltagande var frivilligt. Datainspektionen konstaterar att det i detta fall inte kan utgöra en laglig grund, eftersom eleven vid närvarokontroll är "i en sådan beroendeställning att det råder betydande ojämlikhet".
Vad gäller storleken på sanktionsavgiften skriver Datainspektionen att hänsyn tagits till att det rört sig om överträdelser av flera artiklar, att det rört sig om känsliga personuppgifter om barn som dessutom varit i beroendeställning till gymnasienämnden, att det skett uppsåtligen (för att effektivisera verksamheten), och att Datainspektionen först fick kännedom om behandlingen genom media. Som förmildrande omständighet anges att behandlingen bara pågick i tre veckor och endast omfattade 22 elever.
Samtidigt utfärdas en varning i enlighet med artikel 58.2 a eftersom gymnasienämnden anget att de ämnar fortsätta med ansiktsigenkänning.
Datainspektionens pressmeddelande
Datainspektionens beslut DI-2019-2221 [PDF]