Är din organisation förberedd för en granskning enligt GDPR?
Text: Katarina Ladenfors, advokat och partner på Advokatbyrån MarLaw AB.
Syftet med GDPR är att skapa en enhetlig och likvärdig nivå för skyddet av personuppgifter inom hela EU. Ansiktsigenkänning är en teknik som innebär att biometriska uppgifter används för att identifiera personer. Biometriska uppgifter ingår i GDPRs särskilda kategori av personuppgifter och är särskilt skyddsvärda. De definieras i GDPR som personuppgifter som erhållits genom en särskild teknisk behandling som rör en fysisk persons fysiska, fysiologiska eller beteendemässiga kännetecken och som möjliggör eller bekräftar identifieringen av denna fysiska person, såsom ansiktsbilder eller fingeravtrycksuppgifter. Tekniken kan användas vid bland annat digital identifikation, autenticiering, passersystem och vid finansiella transaktioner etc. Syftet är oftast att ersätta traditionella lösenord.
I sitt tillsynsarbete är det Datainspektionens uppdrag att se till att myndigheter och bolag följer de principer som GDPR har ställt upp för behandling av personuppgifter. Att så sker är något som varje organisation ska kunna visa upp vid en granskning av Datainspektionen. Det ska med andra ord finnas skriftliga rutiner för intern och extern behandling av personuppgifter att visa upp.
Uppgifterna ska till exempel behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade. Insamlingen av uppgifterna måste ha ett särskilt, uttryckligt angivet och berättigat ändamål. Uppgifterna får sedan inte användas till något annat än det som är avsett enligt ändamålet. Behandlingen av uppgifterna får inte heller vara för omfattande än vad som är rimligt för ändamålet. Dessutom får uppgifterna inte lagras längre än vad som är nödvändigt för ändamålet. Uppgifterna ska också behandlas på ett sätt som säkerställer integritet och konfidentialitet av personuppgifterna.
Datainspektionen granskar Skellefteå kommun
I tillsynsskrivelsen till gymnasienämnden i Skellefteå ville Datainspektionen ha svar på om gymnasieskolan hade följt GDPRs principer för behandlingen av personuppgifter vid användandet av ansiktsigenkänning. De ville bland annat veta vilka personuppgifter som hade använts och mer specifikt om biometriska uppgifter hade använts. Enligt artikel 9 i GDPR är det nämligen förbjudet att använda biometriska uppgifter om man inte kan visa att man har tillämpat något av undantagen som finns i regeln, till exempel att den registrerade uttryckligen har lämnat sitt samtycke för det specifika ändamålet eller att behandlingen på något sätt är nödvändig.
Datainspektionen ville också att gymnasienämnden skulle specificera vad ändamålet med behandlingen av personuppgifterna var samt visa vilket rättsligt stöd de hade haft för behandlingen. En grund i GDPR är att behandlingen av personuppgifterna ska vara proportionell i förhållande till behovet med behandlingen, varför gymnasienämnden även blev ombedda att besvara hur de hade gjort sin proportionalitetsbedömning. Vid användande av ny teknik som sannolikt innebär en hög risk för skyddet av personuppgifter bör en konsekvensbedömning av tekniken göras innan användandet inleds, även en sådan konsekvensbedömning blev gymnasienämnden tvungna att inkomma med.
Datainspektionen undrade vidare hur många elever som hade registrerats i projektet med ansiktsigenkänning, hur länge som projektet hade pågått samt om de registrerade hade fått någon information om projektet och i så fall på vilket sätt.
Hela 16 frågor fick Gymnasienämnden i uppgift att tydligt besvara på endast fyra veckor!
I sitt svar uppgav gymnasienämnden i huvudsak att syftet med projektet med ansiktsigenkänning och personuppgiftsbehandlingen varit att på ett enklare och effektivare sätt registrera närvaro på lektionerna i gymnasieskolan. De menade att personuppgiftsbehandlingen motiverades genom att de med hjälp av en säkrare identifiering på ett effektivare sätt kunde uppfylla de krav som ställs i skollagen och iaktta åtgärder när elever har hög frånvaro. De uppgav vidare att både eleverna och vårdnadshavare hade fått information om projektet och fått lämna sitt samtycke till personuppgiftsbehandlingen. Elever som inte ville delta i projektet hade också möjlighet att avstå från registreringen med ansiktsigenkänning och närvarokontroll gjordes då enligt tidigare rutiner. Nu inväntas datainspektionens beslut.
Sammantaget är det av stor vikt att man vid behandling av personuppgifter, och i synnerhet vid behandling av biometriska uppgifter, har rättsligt stöd för behandlingen samt att en konsekvensbedömning har gjorts inför behandlingen. Det är dessutom avgörande att behandlingen av uppgifterna är proportionerlig för ändamålet. Utan stöd och proportionalitet är behandlingen av personuppgifter olaglig enligt GDPR.
De flesta jag möter tror att det är tillräckligt att man har ett ändamål med behandlingen av personuppgifter för att det ska vara proportionerligt – det stämmer inte. En proportionalitetsbedömning enligt GDPR kräver mycket mer än så. Under den praktiska utbildningen för kommunikatörer om GDPR för bild, film och sociala meder går vi igenom detaljerna för hur en proportionalitetsbedömning ska utföras och vilka krav som ställs på organisationen.
Datainspektionens tillsynsärende mot gymnasieskolan:
Datainspektionens tillsynsplan går att läsa i sin helhet här:
https://www.datainspektionen.se/globalassets/dokument/datainspektionens-tillsynsplan-2019-2020.pdf