Datainspektionen inledde tillsyn mot en skola i Skellefteå på grund av försöksverksamhet med ansiktsigenkänning för 22 elever. Syftet var att underlätta närvarokontrollen. DI konstaterade i sitt beslut att skolan visserligen hade laglig grund eftersom närvarokontroll krävs enligt skollagen och därför är nödvändig för att utföra en uppgift av allmänt intresse. Det hjälpte dock inte skolan eftersom ansiktsigenkänning innebär behandling av känsliga personuppgifter, vilket som utgångspunkt är förbjudet. De undantag som kan aktualiseras är om det finns ett samtycke eller ett så kallat viktigt allmänintresse, vilket är förenat med fler krav än det ”vanliga” allmänintresse som utgjorde laglig grund för behandlingen.
DI konstaterar att elevernas beroendeställning gör att det samtycke som skolan inhämtas inte gäller. DI konstaterar även att kraven på ett så kallat viktigt allmänintresse inte är uppfyllda, framförallt eftersom närvarokontroll inte utgör någon ärendehantering, vilket krävs enligt den svenska dataskyddslagens bestämmelser. Även andra brott mot GDPR konstaterades, bland annat att ingen korrekt konsekvensbedömning hade genomförts. Bötesbeloppet sattes till 200 000 kr och då togs hänsyn till att det handlade om en mindre försöksverksamhet och att skolan betraktas som en myndighet där gränsbeloppen är lägre än för företag. Omräknat till nivåerna som gäller för företag skulle bötesbeloppet ha blivit omkring 4 000 000 kr.
Av beslutet kan man dra slutsatsen att ansiktsigenkänning i princip inte kommer att kunna användas på personer i beroendeställning annat än i undantagssituationer. Det innebär att det som utgångspunkt inte kommer att gå att använda sådana metoder på anställda, skolelever (vare sig i privat eller offentlig skola), frihetsberövade personer och andra grupper i beroendeställning. Man kan även dra slutsatsen att sanktionsbelopp för sådana överträdelser kan bli betydande om behandlingen sker i privat regi och i större skala.