Tietosuoja-asetus sanoo, että jokaisella henkilötietojen käyttötarkoituksella on oltava oikeusperuste. Koulu käytti tässä tapauksessa rekisteröidyiltä (koululaiset) saatua suostumusta oikeusperusteena rekisterinpitäjän (koulu) toteuttamalle henkilötietojen käyttötarkoitukselle (läsnäolojen valvonta).
Sensitiivisyyttä tapaukseen lisää se, että henkilötietojen käsittely toteutettiin hyödyntäen uudenlaista teknologiaa (kasvontunnistus) ja toteutustapaa, jolle olisi varmasti huomattavasti vähemmän rekisteröityjen yksityisyyteen puuttuvia vaihtoehtoja. Tietosuoja-asetus puhuu nimittäin myös tietojen minimoinnista, jonka mukaan käsiteltävien henkilötietojen (mm. kasvokuvat rekisteröidyistä) määrä ei saa olla liiallinen suhteessa käsittelyn tarkoituksiin.
Suostumuksen on oltava "vapaasti annettu", eli henkilöllä on oltava oikeus myös olla antamatta suostumusta. Mikäli rekisteröity kokee olevansa pakotettu suostumaan käsittelyyn, suostumuksen edellytykset eivät täyty. Tällainen tilanne voi usein olla kyseessä, kun rekisteröidyn ja rekisterinpitäjän välillä on selkeä epäsuhta (esim. koulu ja koululainen, työnantaja ja työntekijä).
Suostumuksen edellytykset tulee tuntea ja niiden kanssa olla tarkkana. Usein voi olla järkevämpää etsiä muita sopivia oikeusperusteita.
Henkilötietojen oikeaoppinen käsittely vaatii rekisteröidyn asemaan asettumista. Vaikka käytetyt tietojärjestelmät ja käsittely teknisestä näkökulmasta olisi suunniteltu mahdollisimman hyvin, muista tietosuojaperiaatteista on myös pidettävä tarkkaa huolta. Tässä petti tietosuoja-asetuksen esittämä ensimmäinen henkilötietojen käsittelyn periaate, joka vaatii käsittelyn olevan lainmukaista ja kohtuullista.
Vaikka kasvontunnistus oli koulussa vasta kokeiluasteella (käytössä n. 3 viikkoa ja 22 oppilaan joukolla), viranomaiset puuttuivat asiaan heti ja tekivät päätöksensä pikaisesti.