Det svenske datatilsyn har udstedt sin første bøde siden implementeringen af Persondataforordningen tilbage i maj 2018. Bøden på knap 140.000 danske kroner er gået til et svensk gymnasium for brug af ansigtsgenkendelse.
Det svenske gymnasium brugte i en prøveperiode ansigtsgenkendelse for at tjekke elevernes fravær. Gymnasiet forsøgte, ved brug af ansigtsgenkendelsen, at undersøge, om der kunne skabes et nemmere og mindre tidskrævende system, som kunne måle elevers fravær og dermed spare tid for alle lærere.
Ikke passende juridisk formål
Ved brug af ansigtsgenkendelse, indsamles der biometriske data af eleverne, hvilket klassificeres som følsomme oplysninger. Persondataforordningen har fastsat særlige restriktioner ved brug af netop følsomme oplysninger, og det var derfor ikke nok, at gymnasiet havde indhentet samtykke fra elevernes forældre. Datatilsynet udtalte desuden, at gymnasiet ikke havde et passende juridisk formål, og måling af elevers fravær var ikke en tungtvejende grund nok til at behandle denne type data.
Datatilsynet udtalte yderligere, at selvom nogle områder på skolen kan anses som offentlige, må eleverne kunne forvente en vis form for privatliv. Samtidig blev det konkluderet, at der fra gymnasiets side var mindre invasive måder at tjekke elevers fravær på, som ikke var blevet overvejet eller anvendt.
Husker du at have et klart og passende juridisk formål, når du arbejder med personoplysninger? Hvis du er interesseret i en nem løsning for din virksomhed, som overholder GDPR, så kan vi hjælpe dig.
Tag endelig fat i os for en præsentation af systemet og evt. en test-adgang her.