Sanktionsavgift för skola som använde ansiktsigenkänning

Av: Jan Melander Ämne: Kommun 2019-08-28

Jan Melander kommenterar Datainspektionens beslut och bedömer att beslutet är utförligt och synnerligen välmotiverat. Om skolan hade begärt ett förhandssamråd med Datainspektionen hade sanktionsavgiften kunnat undvikas, konstaterar han.

Beslutet 1 är utförligt och synnerligen välmotiverat och det första som innebär att en sanktionsavgift utfärdas med stöd av Dataskyddsförordningen, mer känd som GDPR. Att använda biometrisk information med hjälp av datateknik omfattas av begreppet personuppgifter och GDPR:s regelverk. Detta innebär i sin tur att användningen av metoden måste ha lagligt stöd och dessutom uppfylla principen om uppgiftsminimering, se artiklarna 6 och 5c. Det sistnämnda kravet innebär att behandlingen av personuppgifterna inte ska vara mer integritetsingående än vad som behövs.

Denna utgångspunkt är väl igenkänd i svensk rättstradition genom proportionalitetsprincipen. I sammanhanget ska sägas att biometriska uppgifter anses särskilt skyddsvärda, se artikel 9. Som stöd för sin åtgärd hade den personuppgiftsansvarige åberopat att samtycke inhämtats för hanteringen av personuppgifterna, se art 6 a.

Datainspektionen hänvisar till skäl 43 till förordningen att samtycket också måste värderas i ljuset av den situation som det avser. I detta fall elever som står i beroendeställning till skolan, då närvarokontrollen är ett uttryck för maktutövning (som i sig har legal grund då skolplikt råder). Av denna anledning anses inte samtycke kunna åberopas i detta fall. Det kunde inte heller anses nödvändigt enligt art 6 e att registrera närvaron på detta sätt eftersom manuell närvarokontroll är ett fullt tillräckligt medel och sker kontinuerligt (dvs har en mycket omfattande och slentrianmässig tillämpning). I sammanhanget gör Datainspektionen en djupgående analys av regeln i art 9.2 g. med hänvisningar även till dataskyddslagen. Användningen av biometrisk ansiktsigenkänning ansågs sammanfattningsvis bryta mot GDPR. 

Den sanktionsavgift på 200 000 kr Datainspektionen utfärdade för den personuppgiftsansvarige kan verka väldigt sträng. Det är trots allt en mycket komplex lagstiftning som ska tillämpas och skolans huvudman hade gjort en grundlig bedömning innan piloten med ansiktsigenkänning sjösattes. Den lärdom andra kan dra av fallet är emellertid följande misstag som gjordes av skolan. I fall där det råder osäkerhet och riskerna för omfattande integritetsintrång (artikel 35 p 7) finns en skyldighet att begära förhandssamråd med tillsynsmyndigheten (Datainspektionen), se artikel 36. Så hade inte skett här. Om den personuppgiftsansvarige hade begärt ett sådant hade med andra ord den nu utfärdade avgiften kunnat undvikas. 

Som framgått är Datainspektionens beslut synnerligen väl genomarbetat. Skulle ett överklagande ske är sannolikheten för att en annan bedömning görs i domstol låg.

Av: Jan Melander, expert JUNO för kommuner

Artikeln är ursprungligen publicerad i vår nyhetstjänst 2019-08-27.