Nyhed

Første svenske bøde efter GDPR for ulovlig brug af ansigtsgenkendelse

En kommune i Sverige har handlet i strid med Databeskyttelsesforordningen og fået udstedt en bøde på SEK 200.000, da de brugte ansigtsgenkendelsesteknologi på et gymnasium i Skellefteå i det nordlige Sverige til overvågning af elevernes fremmøde.

Teknologien blev anvendt som en forsøgsordning i 3 uger og påvirkede 22 elever. Gymnasiet anvendte kameraer til at registrere elevernes fremmøde til undervisningen ved brug af ansigtsgenkendelsesteknologi. Det svenske datatilsyn (Datainspektionen) konkluderede, at der var handlet i strid med Databeskyttelsesforordningen og udstedte herefter en bøde på 200.000 SEK (svarende til cirka 140.000 DKK). Det er den første bøde, der er blevet udstedt af Datainspektionen.

I Sverige kan myndigheder maksimalt modtage sanktioner på 10 mio. SEK, hvilket har haft indflydelse på bødens størrelse. Herudover har det haft indflydelse, at det kun har været en forsøgsordning, som er foregået i en begrænset periode, og som kun påvirkede et begrænset antal personer.

Biometriske data er følsomme personoplysninger, hvis de benyttes med det formål entydigt at identificere fysiske personer. Behandlingskravene til behandling af følsomme personoplysninger er skærpede. En af mulighederne for at behandle følsomme personoplysninger er udtrykkeligt samtykke. Den svenske Gymnasiestyrelse har oplyst, at elevernes samtykke til brug af ansigtsgenkendelsen på det omhandlede gymnasium var indhentet, men Datainspektionen lagde til grund, at der ikke kunne indhentes samtykke i denne situation, da eleverne er i et afhængighedsforhold i forhold til Gymnasiestyrelsen.

 

Datainspektionen konkluderede i sagen, at det var en unødig indgriben i elevernes privatliv, og at kontrol af tilstedeværelse kunne ske på andre måder, som var mindre indgribende end ansigtsgenkendelse.

Gymnasiestyrelsen har appelleret Datainspektionens afgørelse.