Igår (2019-08-21) utfärdade Datainspektionen de första GDPR-böterna, en administrativ sanktionsavgift. Under en försöksperiod använde en skola i norra Sverige ansiktsigenkänningsteknik genom kameraövervakning för att spåra elevernas närvaro.
Behandlingen av personuppgifter inkluderade biometriska uppgifter, dvs en specialkategori av personuppgifter. Särskilda kategorier av personuppgifter får inte behandlas om inte specifika omständigheter är tillämpliga. Studenterna hade samtyckt till behandlingen, men på grund av elevernas beroendeförhållande till skolan och närvarokontrollen ansåg Datainspektionen att samtycke inte är var en giltig rättslig grund för åtgärden. Den fann också att någon annan rättslig grund inte var tillämpbar.
Dessutom uppgav Datainspektionen att övervakningen med ansiktsigenkänning var för omfattande och påträngande och därmed oproportionerligt i förhållande till syftet med behandlingen. Slutligen hade varken en konsekvensbedömning eller samråd med en tillsynsmyndighet genomförts i förväg. Då tidsperioden för behandlingen skett under en begränsad period och antalet registrerade elever var lågt sattes böterna till 200 000 SEK.
