Rättsfall | Sverige | 2019-08-28
Datainspektionen har beslutat att Skellefteå kommun ska betala 200 000 kronor i administrativ sanktionsavgift enligt EU:s dataskyddsförordning (GDPR). Sådana avgifter har förekommit i flera andra medlemsstater sedan förordningen blev tillämplig den 25 maj 2018, men det är första gången en sanktionsavgift enligt GDPR tas ut i Sverige.
Första svenska GDPR-avgiften – ansiktsigenkänning för närvarokontroll av elever
Datainspektionen har beslutat att Skellefteå kommun ska betala 200 000 kronor i administrativ sanktionsavgift enligt EU:s dataskyddsförordning (GDPR). Sådana avgifter har förekommit i flera andra medlemsstater sedan förordningen blev tillämplig den 25 maj 2018, men det är första gången en sanktionsavgift enligt GDPR tas ut i Sverige.
I februari 2019 inledde Datainspektionen på eget initiativ en granskning av gymnasienämnden i Skellefteå kommun med anledning av uppgifter som förekommit i media. Den granskade behandlingen utgjorde ett försöksprojekt om registrering av elevers närvaro genom ansiktsigenkänning. Projektet pågick under tre veckor och omfattade endast 22 elever vid en av kommunens gymnasieskolor. Av granskningen framkom dock att kommunen hade för avsikt att framöver använda den nämnda tekniken för närvarokontroll. Kommunen hade gjort bedömningen att skolorna genom ansiktsigenkänning kunde spara upp till 17 280 timmar per år jämfört med manuell närvarokontroll. Dessutom gjorde kommunen gällande att antalet fel minskade.
Personuppgiftsbehandlingens överensstämmelse med dataskyddsregleringen
Datainspektionen kom dock fram till att gymnasienämnden genom det aktuella projektet överträtt ett antal bestämmelser i EU:s dataskyddsförordning. Behandlingen uppfyllde inte de allmänna krav på ändamålsbegränsning och uppgiftsminimering som gäller vid all behandling av personuppgifter (artikel 5 i GDPR). Någon möjlighet att göra undantag från dessa vid pilot- eller försöksverksamhet bedömdes heller inte finnas enligt förordningen. Även om det rörde sig om förhållandevis få elever och en förhållandevis kort tidsperiod ansåg inspektionen att behandlingen hade inneburit ett stort intrång i elevernas integritet. Det var fråga om känsliga personuppgifter rörande barn som befunnit sig i en beroendeställning och behandlingen hade skett genom kamerabevakning i elevernas vardagliga miljö. Eftersom närvarokontroll kan ske på ett sätt som är mindre integritetskränkande ansågs den använda metoden inte vara proportionerlig i förhållande till ändamålet.
Datainspektionen konstaterade att nämnden också saknat en giltig rättslig grund för behandlingen (artikel 6 i GDPR) samt att ansiktsigenkänningen dessutom innebar behandling av biometriska personuppgifter i strid med förbudet om behandling av känsliga personuppgifter (artikel 9 i GDPR). Kommunen hade gjort gällande att behandlingen var tillåten med stöd av uttryckligt samtycke från elevernas vårdnadshavare. Inspektionen ansåg emellertid att samtycke inte kunde användas i det aktuella fallet eftersom eleverna stod i ett sådant beroendeförhållande till gymnasienämnden som gör att ett samtycke inte ska betraktas som frivilligt enligt GDPR (skäl 43 i GDPR). Även om närvarokontroll är en sådan uppgift av allmänt intresse som skolan har skyldighet att utföra enligt bl.a. skollagen, så ansåg inspektionen att inte heller denna grund kunde användas för närvarokontroll genom ansiktsigenkänning. När det var fråga om ett sådant mer kännbart intrång som i det aktuella fallet räckte det inte med det mer allmänna författningsstöd som finns i dataskyddslagen, utan inspektionen ansåg att det krävdes ett särskilt lagstöd. Det framgår inte av beslutet om inspektionen ansåg att kontroll av elevers närvaro når upp till ett sådant viktigt allmänt intresse som kan göra behandling av känsliga personuppgifter tillåten (artikel 9.2 g i GDPR), utan denna nöjde sig med att konstatera att inget av de allmänna undantag som finns i dataskyddslagen var tillämpliga (3 kap. 3 § dataskyddslagen).
För att leva upp till EU:s dataskyddsförordning ska den personuppgiftsansvarige dessutom när det är påkallat genomföra en konsekvensbedömning avseende dataskydd och samråda med den behöriga tillsynsmyndigheten (artiklarna 35 och 36 i GDPR). Även dessa skyldigheter hade gymnasienämnden åsidosatt. Nämnden hade förvisso gjort en viss riskbedömning, men inspektionen ansåg inte att denna uppfyllde alla de krav som ställs enligt förordningen. En konsekvensbedömning skulle ha gjorts innan behandlingen påbörjades bl.a. eftersom det rörde sig om ny teknik, systematisk övervakning samt känsliga personuppgifter avseende barn som befinner sig i en beroendeställning. Eftersom den bedömning som gjorts var bristfällig hade nämnden heller inte lyckats visa att de höga riskerna för de registrerades fri- och rättigheter minskat på ett sådant sätt att samråd med Datainspektionen inte varit behövligt.
Administrativa sanktionsavgifter
En nyhet i EU:s dataskyddsförordning är den möjlighet som Datainspektionen och andra tillsynsmyndigheter numera har att påföra en administrativ sanktionsavgift. Om det rör sig om en mindre överträdelse ska sanktionsavgiften ersättas med en reprimand (skäl 148 i GDPR). Andra korrigerande åtgärder kan dessutom kombineras med eller träda i stället för en avgift. I det aktuella fallet gjorde emellertid Datainspektionen bedömningen att det rörde sig om en så pass allvarlig överträdelse att en sanktionsavgift skulle utgå. Eftersom granskningen visat att det fanns en risk för att nämnden i framtiden skulle börja använda tekniken i strid med dataskyddsregleringen utfärdade inspektionen även en varning (artikel 58.2 a i GDPR). En överträdelse av de bestämmelser som var aktuella i det ifrågavarande tillsynsärendet kan som mest medföra en avgift på 20 miljoner EUR eller för företag 4 % av den totala årsomsättningen (artikel 83.5 i GDPR). Förordningen gör det dock möjligt för en medlemsstat att i sin nationella rätt föreskriva att myndigheter ska betala en lägre avgift (artikel 83.7 i GDPR). Sverige har utnyttjat denna möjlighet, vilket innebär att svenska myndigheter och andra offentliga organ som mest ska betala en sanktionsavgift på 10 miljoner kronor (6 kap. 2 § dataskyddslagen).
Datainspektionen fastställde avgiften till 200 000 kronor, vilket kan uppfattas som förhållandevis högt med hänsyn till att det rörde sig om en begränsad försöksverksamhet. Det fanns emellertid ett antal försvårande omständigheter, såsom att nämnden överträtt ett flertal bestämmelser i GDPR, att överträdelsen var uppsåtlig, att det rörde sig om känsliga personuppgifter om barn som befunnit sig i en beroendeställning samt att intrånget kommit till myndighetens kännedom genom uppgifter i media. Att den interna kontrollen inte fångar upp överträdelser kan tyda på att det finns brister i dataskyddsorganisationen. Avgiften framstår heller inte som hög jämfört med andra medlemsstater. Den ligger exempelvis i linje med den avgift på 20 000 EUR som franska dataskyddsmyndigheten (CNIL) tog ut i ett liknande ärende där anställda vid ett företag kamerabevakats. Det är också svårt att se att en väsentligt lägre avgift skulle varit avskräckande. Att det ska krävas en adekvat konsekvensbedömning innan en kommun börjar använda ny integritetskänslig teknik i skolan framstår heller knappast som orimligt, utan borde egentligen vara en självklarhet.