Första sanktionsavgiften utfärdad av Datainspektionen
Gymnasienämden i Skellefteå kommun får betala 200 000 kronor efter brott mot reglerna i dataskyddsförordningen GDPR. Ärendet berör ett försöksprojekt på Anderstorps gymnasium där elevers närvaro har registrerats med hjälp av ansiktsigenkänning. Vår juridikexpert, Katarina Ladenfors, går igenom ärendet.
Text: Katarina Ladenfors
Försöksprojektet på Anderstorps gymnasium pågick i tre veckor och omfattade en klass om 22 elever och nu utfärdar Datainspektionen en administrativ sanktionsavgift om 200 000 kronor samt en varning mot fortsatt behandling. Datainspektionens ansåg att den aktuella behandlingen av barns känsliga personuppgifter i beroendeställning stred mot Dataskyddsförordningen (GDPR).
Ansiktsigenkänning hade genomförts genom att eleverna filmats när de hade anlänt till ett klassrum och bilderna från detta hade sedan jämförts med redan registrerade bilder på elevernas ansikten i kombination med elevernas för- och efternamn. Uppgifterna lagrades i en lokal dator utan internetuppkoppling som förvarades i ett låst skåp. Uttryckliga godkännanden hade inhämtats från vårdnadshavare och det var möjligt att avstå från registreringen.
Enkelt och effektivt
Syftet med projektet var att på ett enklare och effektivare sätt registrera närvaron på lektionerna i gymnasieskolan. Att registrera närvaro på ett traditionellt sätt tog enligt gymnasienämnden tio minuter per lektion och genom att använda ansiktsigenkänningsteknik för närvarokontroll skulle det enligt nämnden spara 17 280 timmar per år på den aktuella skolan.
Datainspektionen fick kännedom om försöksprojektet via media och genomförde därför en tillsyn av projektet i syfte att granska om gymnasienämndens behandling av personuppgifter utförts i enlighet med GDPR.
Datainspektionen kom fram till att Skellefteå kommun brutit mot flera bestämmelser i GDPR. Bland annat har ett giltigt samtycke saknats till behandlingen. Ansiktsigenkänning är behandling av så kallad biometrisk data vilket anses som känsliga personuppgifter. Det är förbjudet att behandla känsliga uppgifter om det inte finns något uttryckligt undantag i GDPR. Ett undantag kan vara om den registrerade uttryckligen har lämnat sitt samtycke till behandlingen. För att ett samtycke ska vara giltigt enligt förordningen krävs att det har lämnats frivilligt.
Elever i beroendeställning
Datainspektionen menar att utrymmet för ett frivilligt samtycke inom det offentliga området är begränsat. Datainspektionen understryker att det är tydligt att eleven står i beroendeställning till skolan vad gäller betyg, studiemedel, utbildning och därmed möjlighet till framtida arbete eller fortsatta studier. Det är dessutom ofta frågan om barn. Datainspektionen finner därför att samtycket inte har lämnats frivilligt. Däremot påpekas att det finns andra situationer i skolan där samtycke skulle kunna användas som rättslig grund i förhållandet mellan ett barns vårdnadshavare och en skola eller eleven själv exempelvis vid skolfotografering.
Beslutet klargör att utrymmet för ett frivilligt samtycke inom det offentliga området är begränsat. Datainspektionen har tidigare uttalat att samtycke inte ska användas som grund för att få använda bilder på anställda. En anställd anses vara i beroendeställning till sin arbetsgivare vilket i prakten innebär att det är svårt att se samtycket som frivilligt.
En tydlig signal
I det aktuella fallet ansågs det även försvårande att Datainspektionens fått reda på behandlingen via uppgifter i media, att Skellefteå kommun inte inkommit med ett förhandssamråd utan själva felaktigt bedömt att riskbedömning inte är nödvändig samt uttryckt att de planerar att fortsätta med behandlingen.
Datainspektionen ger genom beslutet en tydligen signal om att sådan behandling som sker med ny teknik och som avser känsliga personuppgifter rörande barn ska föranleda ett förhandssamråd med Datainspektionen. Myndigheten har även utfärdat en varning för att se till att projektet inte fortsätter.