Det var förra hösten som ett gymnasium i Skellefteå under några veckor provade att registera elevernas närvaro med hjälp av ansiktsigenkänning. Det pågick i tre veckor och berörde 22 elever.

I februari startade Datainspektionen en tillsyn efter att ha fått kännedom om försöket genom medier.

Och nu konstaterar Datainspektionen att skolans försök brutit mot GDPR och utdömer därför en så kallad sanktionsavgift om 200 000 kronor. Det är den första gången som Datainspektionen använder sig av en sanktionsavgift för brott mot GDPR.

– Gymnasienämnden i Skellefteå har överträtt flera av bestämmelserna i dataskyddsförordningen på ett sätt som gör att vi nu utfärdar en sanktionsavgift, säger Lena Lindgren Schelin, generaldirektör för Datainspektionen i en kommentar.

Ansiktsigenkänning anses – precis som andra biometriska uppgifter – vara känsliga personuppgifter och därmed extra skyddsvärda.

Och att gymnasienämnden i Skellefteå fått elevernas samtycke är inte tillräckligt konstaterar Datainspektionen.

– Gymnasienämnden kan inte använda samtycke i det här fallet eftersom eleverna befinner sig i beroendeställning till nämnden, säger Ranja Bunni som är jurist på Datainspektionen.

Maximalt kan myndigheter få tio miljoner kronor i sanktionsavgift men i det här fallet har Datainspektionen tagit hänsyn till att det handlat om ett försök under en begränsad period.

Hela beslutet finns att läsa här. 

Läs också: I dag fyller GDPR ett år – ännu inga viten utdömda i Sverige
GDPR: Här är allt du behöver veta om EU:s dataskyddsregler