Datainspektionen har kommit med sitt första beslut under Dataskyddsförordningen (2016/679). Beslutet innehåller flera intressanta ställningstaganden.

Beslutet avser Gymnasienämndens i Skellefteå kommun tillämpning av ansiktsigenkänning för närvarokontroll av elever under en testperiod. De uppgifter som registrerats är biometrisk data i form av ansiktsbilder samt för- och efternamn. Vårdnadshavare till de elever som ingått i testet hade lämnat samtycke för elevernas medverkan i projektet.

Datainspektionen slår inledningsvis fast att Dataskyddsförordningen inte innehåller något undantag för testperioder eller liknande och därför skall tillämpas fullt ut.

Generellt konstateras i avgörandet att utrymmet för frivilligt samtycke inom det offentliga området är begränsat. Avseende skolverksamhet specifikt uttalas att samtycke inte kan anses lämnas frivilligt, eftersom eleverna befinner sig i en sådan beroendeställning till Gymnasienämnden att en betydande ojämlikhet råder dem emellan.

Datainspektionen uttalar även en del uppfattningar av delvis förvaltningsrättslig karaktär. Närvarokontroll genom ansiktsigenkänning anses inte utgöra ärenden utan faktiskt handlande, undantaget om viktigt allmänt intresse i 3 kap 3 § dataskyddslagen anses inte vara tillämpligt.

Dessutom anser Datainspektionen att de aktuella personuppgiftsbehandlingarna har inneburit ett otillbörligt intrång i de registrerades integritet.

Gymnasienämnden anses även ha brutit mot proportionalitetsprincipen vid sin användning av ansiktsigenkänning eftersom närvarokontrollen har kunnat utföras på ett för eleven mindre ingripande sätt. I fråga om någon konsekvensbedömning före testperiodens inledande konstateras att Gymnasienämnden visserligen har utfört en riskbedömning men att denna, som det måste förstås, resulterat i felaktiga slutsatser eftersom inte någon konsekvensbedömning ansetts nödvändig. Tvärtom borde Gymnasienämnden med hänsyn till bl.a. de faktorer som tidigare nämnts ovan ha genomfört en konsekvensbedömning och till Dataskyddsinspektionen ha inkommit med begäran om förhandssamråd avseende projektet.

En reprimand anses inte som tillräcklig sanktion eftersom personuppgiftsbehandlingen har avsett behandling av känsliga personuppgifter rörande barn som befinner sig i beroendeställning samt att behandlingen av personuppgifterna skett genom kamerabevakning i elevernas vardagliga miljö.

Datainspektionen anser att det finns en rad försvårande omständigheter som ska beaktas vid bestämmandet av sanktionsavgift. Överträdelsen har dels avsett känsliga personuppgifter, dels avsett barn i beroendeställning och har dessutom skett uppsåtligen. Vidare påtalas att behandlingen kommit till Datainspektionens kännedom först genom media. Inspektionen beaktar således detta förhållande som en särskild del av bedömningen. Som förmildrande omständighet nämns att det har rört sig om en begränsad period för endast 22 elever. Sanktionsavgiften bestäms till 200.000 kronor.

För att läsa det fullständiga beslutet, se länk till Datainspektionens hemsida: https://www.datainspektionen.se/globalassets/dokument/beslut/beslut-ansiktsigenkanning-for-narvarokontroll-av-elever-dnr-di-2019-2221.pdf