Datainspektionen beslutade tidigare i år att gymnasienämnden i Skellefteå kommun ska betala en administrativ sanktionsavgift för att ha behandlat personuppgifter i strid med dataskyddsförordningen, då man använt sig av kamerabevakning och ansiktsigenkänning för att utföra närvarokontroll. I det här blogginlägget utforskar vi om det går att dra några generella slutsatser av tillsynsbeslutet, särskilt avseende ansiktsigenkänningsteknik, eller om det är fråga om ett beslut som fattats utifrån speciella omständigheter i det enskilda fallet. Vi lutar åt det sistnämnda.
Gymnasienämnden använde sig av kamerabevakning för att registrera närvaro på sina elever. Datainspektionen uppmärksammades på behandlingen genom uppgifter i media och inledde tillsyn som resulterade i att nämnden påfördes en sanktionsavgift om 200 000 kr. Den första delen av det här blogginlägget handlar om tillsynsbeslutet. I den andra, avslutande delen sammanfattar vi de slutsatser som kan dras av tillsynsbeslutet och vad man bör tänka på vid behandling av biometriska uppgifter.
Den första frågan som Datainspektionen tar ställning till är om det fanns en rättslig grund för gymnasienämndens behandling av personuppgifter. Gymnasienämnden hade inhämtat samtycke från både berörda elever och deras vårdnadshavare. Det är föga förvånande att Datainspektionen, utifrån vad myndigheten anfört i remissvar och i tidigare tillsynsärenden, ansåg att eleven står i sådan beroendeställning till skolan att den behandling av personuppgifter som var föremål för tillsyn inte kan ske med stöd av samtycke. Datainspektionen förefaller dock vara av uppfattningen att behandlingen kunnat ske med stöd av att den var nödvändig för att utföra en uppgift av allmänt intresse, och i viss mån även för att uppfylla en rättslig förpliktelse. Vi skriver ”förefaller” eftersom någon brist i förhållande till kravet på rättslig grund inte ligger till grund för beslutet om sanktionsavgifter. Där tar det dock stopp.
De personuppgifter som behandlats med stöd av teknik för ansiktsigenkänning utgör biometriska uppgifter och omfattas därför av det principiella förbudet mot behandling av vissa särskilt känsliga kategorier av personuppgifter. Nästa fråga var därför om det fanns ett tillämpligt undantag från detta förbud. I den delen konstaterar Datainspektionen återigen att samtycke inte är en framkomlig väg, och vidare att behandlingen av de biometriska uppgifterna inte heller kunnat utföras med hänvisning till att den är nödvändig av hänsyn till ett viktigt allmänt intresse. Vi ska ägna extra uppmärksamhet åt undantaget för viktiga allmänna intressen.
Detta undantag är en av de bestämmelser i dataskyddsförordningen som det inte är möjligt att tillämpa direkt, utan det kräver att nationella lagstiftningsåtgärder vidtas. Sådana lagstiftningsåtgärder har vidtagits genom att bestämmelser införts i lagstiftning som kompletterar dataskyddsförordningen. Att det är fråga om ett viktigt allmäntintresse signalerar att undantaget hänger samman med utövande av offentlig verksamhet. Anledningen till att undantaget som gäller för viktiga allmänna intressen inte bedömdes vara tillämpligt för behandlingen av personuppgifter i tillsynsärendet hänger samman med hur denna bestämmelse genomförts i svensk rätt. Datainspektionen har i remissvar haft synpunkter på de nationella bestämmelser som föreslagits. Det är därför inte helt förvånande att bestämmelsen är föremål för uppmärksamhet från tillsynsmyndighetens sida.
När det gäller efterlevnaden av de grundläggande principerna för behandling av personuppgifter konstaterar Datainspektionen förhållandevis kortfattat att personuppgiftsbehandlingen varit alltför omfattande och genomförts på ett för den personliga integriteten alltför ingripande sätt, vilket medfört att den varit oproportionerlig i förhållande till ändamålet med behandlingen.
Datainspektionen övergår därefter till kravet på att utföra en konsekvensbedömning avseende dataskydd och konstaterar att den aktuella behandlingen har skett genom systematisk övervakning (kamerabevakning), har omfattat känsliga personuppgifter om barn i en miljö där de befinner sig i beroendeställning samt har skett med stöd av en ny teknik - ansiktsigenkänning. Dessa omständigheter medför enligt Datainspektionens bedömning att en konsekvensbedömning borde ha genomförts. Tillsynsmyndigheten stannar dock inte där, utan konstaterar att gymnasienämnden dessutom borde ha begärt förhandssamråd med Datainspektionen och lägger även denna brist till grund för beslutet av sanktionsavgifter.
När det gäller utfärdandet av sanktionsavgiften och dess storlek så förelåg flera omständigheter som Datainspektionen ansåg vara försvårande:
att det har skett överträdelser av flera artiklar i dataskyddsförordningen, inklusive skyldigheter som omfattas av den högre nivån av sanktionsavgifter,
att överträdelser har avsett känsliga personuppgifter rörande barn som har befunnit sig i beroendeställning i förhållande till den personuppgiftsansvarige, samt
att behandlingarna skett uppsåtligen.
Vilka slutsatser kan då dras av tillsynsbeslutet? Beslutet innebär inte att det generellt är förbjudet att använda ansiktsigenkänning eller att det automatiskt kommer att medföra böter. Det är också viktigt att ha i åtanke att skolan är reglerad, offentligt finansierad verksamhet och att föremålen för skolverksamheten är minderåriga personer som dessutom befinner sig i beroendeställning i förhållande till verksamhetens huvudman. Detta medför att specifika legala förutsättningar gäller inom verksamheten, både generellt och mer specifikt för personuppgiftsbehandlingen. Vi uppfattar därför tillsynsbeslutet som ett avgörande som i mångt och mycket utgår från speciella förutsättningar och att det inte går att dra några långtgående generella slutsatser om ansiktsigenkänning i förhållande till dataskyddsregelverket.
Det går dock utifrån Datainspektionens resonemang och bedömningar att dra vissa slutsatser om vad som är viktigt att tänka på vid tillämpning av ansiktsigenkänningsteknik och annan behandling av biometriska uppgifter:
Vid tveksamhet om det är fråga om behandling av biometriska uppgifter, utgå från att så är fallet.
Tillämpa de grundläggande principerna för behandling av personuppgifter noggrant, särskilt principerna om uppgiftsminimering och lagringsminimering.
Undersök ordentligt vilket undantag från förbudet av behandling av känsliga personuppgifter som kan vara tillämpligt. Finns inget tillämpligt undantag är behandlingen inte tillåten.
Konsekvensbedömning krävs ofta vid behandling av biometriska uppgifter – var noggrann i genomförande och dokumentation.
Begär förhandssamråd med Datainspektionen – hellre en gång för mycket än en gång för lite.
Ansiktsigenkänning är en ny teknik – det medför en ökad risk för att ådra sig Datainspektionens intresse.
Skyldigheten att informera om behandlingen av personuppgifter vid ansiktsigenkänning omfattades inte av Datainspektionens beslut, men kan rimligen förväntas ges central betydelse vid framtida tillsynsärenden.