Den kommunala gymnasieskolan Anderstorpsgymnasiet i Skellefteå genomförde tidigare i år ett projekt med automatisk elevregistrering genom taggar, telefonappar och ansiktsigenkänning i samarbete med Tieto. Detta för att minska administrationen hos lärare.
Försöket har pågått under tre veckor och berört 22 elever. Datainspektionen har granskat användningen och konstaterar att gymnasienämnden i Skellefteå har hanterat känsliga personuppgifter i strid med dataskyddsförordningen.
”Gymnasienämnden i Skellefteå har överträtt flera av bestämmelserna i dataskyddsförordningen på ett sätt som gör att vi nu utfärdar en sanktionsavgift”, säger Lena Lindgren Schelin, generaldirektör för Datainspektionen i ett uttalande.
Sanktionsavgiften är på 200.000 kronor. Avgiftens storlek påverkas bland annat av att det är frågan om en myndighet och att det handlar om ett försök under en begränsad period, enligt Datainspektionen.
”Teknik för ansiktsigenkänning är i sin linda men utvecklingen går snabbt. Vi ser därför ett stort behov av att skapa tydlighet kring vad som gäller för alla aktörer”, säger Lena Lindgren Schelin.
Enligt myndigheten är biometriska uppgifter, som används vid ansiktsigenkänning, känsliga personuppgifter som är extra skyddsvärda och som det krävs uttryckliga undantag för att få hantera. Gymnasienämnden har uppgett att man har fått elevernas samtycke till att använda ansiktsigenkänning för närvarokontroll.
”Gymnasienämnden kan inte använda samtycke i det här fallet eftersom eleverna befinner sig i beroendeställning till nämnden”, förklarar Ranja Bunni som är jurist på Datainspektionen och som deltagit i granskningen.
I sitt beslut konstaterar Datainspektionen att ansiktsigenkänningen inneburit kamerabevakning av eleverna i deras vardagliga miljö, varit ett intrång i deras integritet och att närvarokontroll kan göras på andra sätt som är mindre integritetskränkande än ansiktsigenkänning.