Facial recognition in school renders Sweden’s first GDPR fine

22 August 2019

The Swedish DPA has fined a municipality 200 000 SEK (approximately 20 000 euros) for using facial recognition technology to monitor the attendance of students in school.


A school in northern Sweden has conducted a pilot using facial recognition to keep track of students’ attendance in school. The test run was conducted in one school class for a limited period of time.


The Swedish DPA concluded that the test violates several articles in GDPR and has imposed a fine on the municipality of approximately 20 000 euros. In Sweden public authorities can receive a maximum fine of 10 million SEK (approximately 1 million euros). This is the first fine issued by the Swedish DPA.
The school has processed sensitive biometric data unlawfully and failed to do an adequate impact assessment including seeking prior consultation with the Swedish DPA.


The school has based the processing on consent but the Swedish DPA considers that consent was not a valid legal basis given the clear imbalance between the data subject and the controller.

Read the full press release in Swedish below or here

For further information, please contact the Swedish DPA: imy@imy.se


Sanktionsavgift för ansiktsigenkänning i skola


Datainspektionen utfärdar en sanktionsavgift på 200 000 kronor för en skola som på prov har använt ansiktsigenkänning via kamera för att registrera elevers närvaro.

För första gången utfärdar nu Datainspektionen en sanktionsavgift mot en aktör som har brutit mot reglerna i dataskyddsförordningen, GDPR.


En gymnasieskola i Skellefteå har på prov använt ansiktsigenkänning via kamera för att registrera elevers närvaro på lektionerna. Försöket har pågått under tre veckor och berört 22 elever. Datainspektionen har granskat användningen och konstaterar att gymnasienämnden i Skellefteå har hanterat känsliga personuppgifter i strid med dataskyddsförordningen.


– Gymnasienämnden i Skellefteå har överträtt flera av bestämmelserna i dataskyddsförordningen på ett sätt som gör att vi nu utfärdar en sanktionsavgift, säger Lena Lindgren Schelin, generaldirektör för Datainspektionen.


Sanktionsavgiften är 200 000 kronor. Avgiftens storlek påverkas bland annat av att det är frågan om en myndighet och att det handlar om ett försök under en begränsad period. Myndigheter kan maximalt få tio miljoner kronor i sanktionsavgift.


– Teknik för ansiktsigenkänning är i sin linda men utvecklingen går snabbt. Vi ser därför ett stort behov av att skapa tydlighet kring vad som gäller för alla aktörer, säger Lena Lindgren Schelin.


Biometriska uppgifter, som används vid ansiktsigenkänning, är känsliga personuppgifter som är extra skyddsvärda och som det krävs uttryckliga undantag för att få hantera. Gymnasienämnden har uppgett att man har fått elevernas samtycke till att använda ansiktsigenkänning för närvarokontroll.


– Gymnasienämnden kan inte använda samtycke i det här fallet eftersom eleverna befinner sig i beroendeställning till nämnden, förklarar Ranja Bunni som är jurist på Datainspektionen och som deltagit i granskningen.


I sitt beslut konstaterar Datainspektionen att ansiktsigenkänningen inneburit kamerabevakning av eleverna i deras vardagliga miljö, varit ett intrång i deras integritet och att närvarokontroll kan göras på andra sätt som är mindre integritetskränkande än ansiktsigenkänning.


För mer information kontakta
Jurist Ranja Bunni, telefon 08-657 61 46
Jurist Jenny Bård, telefon 08-657 61 54
Presskontakt Per Lövgren, telefon 08-515 15 415

The press release published here does not constitute official EDPB communication, nor an EDPB endorsement. This press release was originally published by the national supervisory authority and was published here at the request of the SA for information purposes. As the press release is represented here as it appeared on the SA's website or other channels of communication, the news item is only available in English or in the Member State's official language with a short introduction in English. Any questions regarding this press release should be directed to the supervisory authority concerned.