Datainspektionen utfärdar sanktionsavgift – inte möjligt att samtycka till ansiktsigenkänning

 In Nyheter

En gymnasieskola har använt teknik för ansiktsigenkänning för att kontrollera elevers närvaro. Datainspektionen anser att förfarandet strider mot dataskyddsförordningen (GDPR) och har nu för första gången utfärdat en sanktionsavgift om 200 000 kronor mot den personuppgiftsansvarige.

Gymnasienämnden i Skellefteå kommun lät under en försöksperiod på tre veckor behandla 22 elevers personuppgifter genom teknik för ansiktsigenkänning för att kontrollera elevernas närvaro i skolan. Eleverna filmades när de gick in i klassrummet varefter bilderna jämfördes med tidigare tagna bilder. Syftet med projektet var att förenkla och tidsoptimera närvarokontrollen. Inför projektet hade nämnden inhämtat samtycke från elevernas vårdnadshavare. Det var möjligt för enskilda elever att avstå från att delta i testprojektet.

Enligt GDPR är uppgifter som erhålls genom tekniker för ansiktsigenkänning s k biometriska personuppgifter, vilka kategoriseras som särskilt känsliga personuppgifter. Utgångspunkten är att behandling av känsliga personuppgifter är förbjuden såvida inte något uttryckligt undantag i GDPR är tillämpligt.

Datainspektionen uppmärksammades om försöket med ansiktsigenkänning genom pressuppgifter och inledde ett tillsynsärende.

I sitt beslut konstaterar Datainspektionen att ett giltigt samtycke enligt GDPR bland annat förutsätter en jämlik relation mellan den som samtycker och den personuppgiftsansvarige, vilket i regel inte är fallet om den personuppgiftsansvarige är en myndighet. Utrymmet att lämna giltiga samtycken till en myndighet är därför begränsat. För skolverksamhet som inte är offentligrättsligt reglerad, såsom administration av skolfotografering, har det dock bedömts finnas ett utrymme att stödja personuppgiftsbehandling på samtycke. Närvarokontroll är däremot ett offentligrättsligt reglerat åliggande för en skola. Enligt Datainspektionen är eleven, inom området för närvarokontroll, i en sådan beroendeställning mot skolan att ett giltigt samtycke inte kan lämnas.

Datainspektionen konstaterar vidare att inte heller något annat undantag från förbudet att behandla känsliga personuppgifter kan tillämpas. Gymnasienämnden anses därför ha saknat laglig grund för den behandling som tekniken för ansiktsigenkänning föranlett.

I beslutet konstaterar Datainspektionen dessutom att nämnden handlat i strid med GDPR genom att den underlåtit att genomföra dels en konsekvensbedömning, dels ett förhandssamråd med inspektionen. Härutöver bedöms den använda tekniken för ansiktsigenkänning strida mot vissa av GDPR:s grundläggande principer, bland annat om uppgiftsminimering.

Mot bakgrund av de konstaterade överträdelserna finner Datainspektionen att det finns skäl att besluta om sanktionsavgift i förening med en varning att inte upprepa förfarandet. Sanktionsavgiften sätts till 200 000 kronor. Vid bestämmandet av avgiftens storlek beaktar Datainspektionen försvårande och förmildrande omständigheter i det enskilda fallet. Det anses försvårande att behandlingen bland annat avsett känsliga personuppgifter om barn i beroendeställning samt att nämnden inte självmant uppmärksammade inspektionen om testprojektet. I viss mån förmildrande anses att behandlingen pågått under en begränsad period (tre veckor) och endast omfattat ett fåtal personer.

Beslutet kan överklagas till förvaltningsrätten.

(Datainspektionens beslut den 20 aug 2019, dnr DI-2019-2221)