1984. Förvaltningsrätten dömer Skellefteå kommun till böter och varning för brott mot dataskyddsförordningen för att man registrerat elevers närvaro med ansiktsigenkänning.

I Sverige idag är reglerna för hur man får tillämpa digital teknik för att automatiskt identifiera eller verifiera en person utifrån en digital bild – det vill säga använda ansiktsigenkänning – ännu oklara.

När det gäller behandling av ”känsliga personuppgifter” med denna teknik råder ett generellt förbud, vilket upphör gälla om ”giltiga undantag” från det föreligger.

Förvaltningsrätten dömer nu Gymnasienämnden i Skellefteå kommun till böter på 200 000 kronor samt en varning.

Orsaken är att Gymnasienämnden i ett pilotprojekt använt ansiktsigenkänning för att notera elevers närvaro. Man har därmed brutit mot dataskyddsförordningen (GDPR), resonerar Förvaltningsrätten

Pilotprojektet omfattade närvaroregistrering av 22 elever under tre veckor. Datainspektionen följde verksamheten och fann den strida mot GDPR.

Man tilldömde därför kommunen en administrativ sanktionsavgift om 200 000 kronor samt en varning.

Gymnasienämnden överklagade emellertid beslutet till Förvaltningsrätten, vilken nu alltså fattar samma beslut som Datainspektionen.

Inget samtycke
I domen betonas att verkligt samtycke inte kan föreligga då eleverna är i beroendeförhållande gentemot Gymnasienämnden.

Vidare påpekas att personuppgiftsbehandlingen varit för ingripande i den personliga integriteten i relation till ändamålet.

Nämnden har även felat genom att ha underlåtit genomföra en konsekvensbedömning. Dessutom har man brustit genom att inte ha tagit initiativ till ett förhandssamråd med Datainspektionen.

Påföljderna motiveras i domen enligt följande:

  •  Behandling av personuppgifter i strid med GDPR ger en administrativ sanktionsavgift på 200 000 kronor.
  • Uttalad avsikt att även fortsättningsvis använda ansiktsigenkänning för samma syfte ger en varning.

Så här kommenterar Håkan Åberg, chefsrådman vid Förvaltningsrätten. domen till Dagens Juridik:

— För att ha rätt att behandla känsliga personuppgifter krävs ett giltigt undantag från förbudet att behandla dessa. Nämnden har bland annat. anfört samtycke från eleverna och deras vårdnadshavare som ett giltigt undantag. En central fråga har därför varit om det funnits ett giltigt samtycke. Förvaltningsrätten anser i likhet med Datainspektionen att det inte förelegat något giltigt samtycke på grund av den betydande ojämlikhet som råder mellan eleverna och nämnden. Något annat giltigt undantag har inte heller funnits.

Inget förbud inom EU
ComputerSweden rapporterade tidigare i år om hur EU nu övergivit tidigare överväganden om ett generellt förbud mot ansiktsigenkänning.

Efter amerikanska påtryckningar begränsas diskussionen om denna teknik inom unionen till att handla om begränsningar i användandet på ”känsliga platser” som till exempel sjukhus.

  • Publicerad:
    2020-08-17 13:45