Svensk skole får bot på 185 000 kroner for ansiktsgjenkjenning

Sist høst utprøvde et gymnas i Skellefteå et system for å registrere elevenes tilstedeværelse ved hjelp av ansiktsgjenkjenning. Forsøket varte i tre uker og omfattet 22 elever.

Den svenske Datainspektionen startet i februar 2019 et tilsyn etter å ha bli gjort kjent med forsøket gjennom medier. Nå konkluderer myndighetsorganet at skolen har brutt mot GDPR og idømmer den en såkalt sanksjonsavgift på 200 000 svenske kroner.

– Gymnasienämnden i Skellefteå har trått over flere av bestemmelsene i forskriften om personvern på en måte som gjør at vi nå utsteder en sanksjonsavgift, sier Lena Lindgren Schelin, som er generaldirektør for den svenske Datainspektionen til Computer Sweden.

Ansiktsgjenkjenning blir i Sverige ansett, som andre biometriske opplysninger, som følsomme personopplysninger og er dermed ekstra verdt å beskytte. At skolestyret i Skellefteå hadde innhentet elevenes samtykke er ikke tilstrekkelig til å sette dette til side, konstaterer Datainspektionen.

– Gymnasienämnden kan ikke bruke samtykke i dette tilfellet siden elevene befinner seg i en avhengighetsposisjon i Gymnasienämden, sier Ranja Bunni som er jurist i Datainspektionen.

Maksimalt kan offentlige virksomheter få ti millioner svenske kroner i sanksjonsavgift, men i dette tilfellet har Datainspektionen tatt hensyn til at det dreier seg om et forsøk i en begrenset periode.

Hele beslutningen til Datainspektionen ligger her.