MyFondia VirtuellaJuristen
27 AUGUSTI 2019

Datainspektionen utfärdar sin första sanktionsavgift för brott mot GDPR

Den tekniska utvecklingen skapar ständigt nya möjligheter att automatisera och effektivisera världen omkring oss. Den kreative kan med teknikens hjälp spara både tid och pengar, åtminstone inom dataskyddslagstiftningens ramar.

Varje år lägger lärarna på Andertorpsgymnasiet i Skellefteå 17 280 timmar, motsvarande hela tio heltidstjänster, på att registrera elevernas närvaro under lektionstid. I syfte att minska mängden administration och kunna ägna mer tid åt undervisning beslutade skolan att under tre veckor testa ett pilotprojekt med närvarokontroll genom ansiktsigenkänning. Smått genial lösning, kan man tycka.

Kameror och sensorer placerades ut vid ingången till klassrummet, och eleverna samt deras föräldrar fick ge sitt samtycke till projektet. Det hela uppmärksammades i media, och därigenom av Datainspektionen som inledde en granskning av projektet.

Datainspektionens utredning är omfattande – men innehåller ett viktigt klargörande om samtyckesgrunden. Myndigheten konstaterar att närvarokontroll genom ansiktsigenkänning utgör behandling av känsliga (biometriska) personuppgifter, som i detta fall har skett med stöd av samtycke från eleverna och deras föräldrar. Ett samtycke till personuppgiftsbehandling måste lämnas frivilligt. Eleverna och deras föräldrar hade visserligen möjlighet att avstå från att delta i projektet men graden av frivillighet prövas inte bara utifrån valfrihet utan även förhållandet mellan den registrerade och den personuppgiftsansvarige, till exempel om det föreligger en betydande ojämlikhet mellan dem. I den frågan konstaterade myndigheten att eleverna står i tydlig beroendeställning till skolan vad gäller betyg, studiemedel, utbildning och möjlighet till arbete i framtiden eller fortsatta studier, samt att det är fråga om barn. Samtycke kunde därför inte användas som laglig grund för behandlingen.

Man framhöll också att syftet med personuppgiftsbehandlingen, att registrera elevernas närvaro, hade kunnat uppnås genom mindre integritetskränkande metoder. Att göra närvarokontroll med ansiktsigenkänning ansågs därför vara oproportionerligt i förhållande till syftet.

Datainspektionens beslut illustrerar samtyckesgrundens många nivåer – att tillgodose dem alla kan vara en riktig utmaning, inte minst när den registrerade står i beroendeställning till den personuppgiftsansvarige. Så är ofta fallet i anställningsförhållanden. Den kreative arbetsgivaren som vill spara tid och pengar har med andra ord god anledning att göra ett gediget förarbete innan ny, smidig (och ofta dyr) teknik installeras på arbetsplatsen. 

Sanktionsavgiften uppgick till 200 000 kr, ett förhållandevis högt belopp då myndigheter som mest kan sanktioneras upp till 10 000 000 kr.

Har du frågor kring personuppgiftshantering? Kontakta någon av våra jurister så hjälper vi dig.