Gymnasienämnden beviljade en gymnasieskola tillstånd till närvaroregistrering genom ansiktsigenkänning i strid med GDPR, för att kontrollera närvaron av eleverna. Ansiktsigenkänningen blev genomförd med en kamera.
Innan gymnasieskolan började att använda denna metod för närvarokontroll, fick elevernas föräldrar information om metoden. Föräldrarna kunde välja att lämna sitt samtycke till sådan användning eller välja att inte lämna samtycke. De elever vars föräldrar inte lämnade sitt samtycke, skulle bli närvarokontrollerade enligt tidigare rutiner och metoder.
Integritetsskyddsmyndighetens bedömning
Integritetsskyddsmyndigheten bedömde ärendet och enligt dem utgör metoden ett intrång i elevernas integritet. Ansiktsigenkänningen strider i detta fall mot GDPR. Enligt Integritetsskyddsmyndighetens bedömning är närvaroregistrering vid gymnasieskola genom ansiktsigenkänning inte tillåten. Integritetsskyddsmyndigheten beslutade att gymnasienämnden ska betala 200 000 SEK i sanktionsavgift till staten. Detta beslut har även förvaltningsrätten slagit fast.
Enligt GDPR innebär skanning av personers ansikten en känslig personuppgift, eftersom det rör sig om Biometriska uppgifter som är känsliga personuppgifter enligt GDPR (enligt Artikel 4.14 GDPR).
Integritetsskyddsmyndigheten bedömde även att föräldrarna som lämnat sitt samtycke till behandlingen ifråga inte kunde lämna ett fullgott samtycke till behandling. Detta eftersom eleverna är i beroendeställning till gymnasienämnden och att det därför inte är möjligt att lämna ett giltigt samtycke i sådant fall.
Dessutom fanns inte någon uttrycklig undantagsregel i detta fall för att få behandla och hantera de extra skyddsvärda känsliga personuppgifterna.
Därför saknades giltig rättslig grund till behandlingen ifråga och därmed var behandlingen olaglig och i strid med GDPR.
Integritetsskyddsmyndigheten konstaterade att närvaroregistrering genom ansiktsigenkänning innebar kamerabevakning av eleverna och deras vardagliga miljö på ett sätt som innebär intrång i deras integritet. De menar även att närvarokontroll kan ske på andra mindre integritetskränkande sätt.
Integritetsskyddsmyndigheten påpekade även att gymnasienämnden borde ha meddelat Integritetsskyddsmyndigheten om detta metod och genomföra en konsekvensbedömning innan den började bli använd. Gymnasienämnden skulle ha ansökt om förhandssamråd med Integritetsskyddsmyndigheten, för att avgöra om behandlingen är tillåten eller inte (enligt Artikel 35 GDPR).
