Datainspektionen har utfärdat de första svenska GDPR-böterna
För första gången sedan dataskyddsförordningen trädde ikraft har Datainspektionen beslutat att utfärda en administrativ sanktionsavgift. Gymnasienämnden i Skellefteå kommun ska betala 200 000 kr för överträdelser av dataskyddsförordningen.
Gymnasienämnden i Skellefteå kommun hade under ett tre veckor långt pilotprojekt kontrollerat 22 elevers närvaro genom användning av teknik för ansiktsigenkänning. När en elev gick in i klassrummet läste en kamera av elevens ansikte. Uppgifterna stämdes sedan av mot en databas med foton på eleverna.
I beslutet konstaterar Datainspektionen att Gymnasienämnden i Skellefteå kommun genom att använda sig av ansiktsigenkänning för att kontrollera närvaron brutit mot följande artiklar i dataskyddsförordningen:
Artikel 5 – grundläggande principer för att behandla personuppgifter
Enligt Datainspektionen var behandlingen mer ingripande och omfattade fler personuppgifter än vad som var nödvändigt för ändamålet. Närvarokontroll hade enligt Datainspektionen kunnat ske på ett för eleverna mindre integritetskränkande sätt.
Artikel 9 – behandling av känsliga personuppgifter
Att kontrollera närvaro med hjälp av ansiktsigenkänning ansågs av Datainspektionen vara behandling av biometriska uppgifter, personuppgifter som anses särskilt känsliga enligt dataskyddsförordningen, något som ställer särskilt höga krav på när uppgifterna får behandlas. Gymnasienämnden menade att elevernas vårdnadshavare hade samtyckt till personuppgiftsbehandlingen samt att behandlingen varit nödvändig av hänsyn till ett viktigt allmänt intresse. Enligt nämnden förelåg därför undantag från det principiella förbudet mot att behandla känsliga personuppgifter i dataskyddsförordningen. Datainspektionen ansåg dock att något frivilligt samtycke inte kan lämnas inom ramen för skolverksamhet p.g.a. det ojämlika förhållandet mellan en elev och skolan. Efter en genomgång av 3 kap. 3 § i den kompletterande svenska dataskyddslagen konstaterade Datainspektionen att behandlingen inte heller skulle undantas förbudet med hänsyn till att den varit nödvändig av hänsyn till ett viktigt samhällsintresse.
Artikel 35 och 36 – konsekvensbedömning och förhandssamråd
Datainspektionen ansåg att behandlingen var av sådan integritetskänslig art att gymnasienämnden varit skyldig att genomföra en konsekvensbedömning avseende dataskydd samt förhandssamråda med Datainspektionen innan behandlingen påbörjades. I och med att gymnasienämnden inte gjort något av detta ansåg Datainspektionen att nämnden även brutit mot artikel 35 och 36 i dataskyddsförordningen.
Vid bedömningen av sanktionsavgiftens storlek konstaterade Datainspektionen att det maximala bötesbeloppet vid en myndighets överträdelse av artikel 5 eller 9 uppgår till 10 miljoner kr. Som försvårande omständigheter ansåg Datainspektionen att det varit fråga om brott mot flera artiklar, att överträdelsen avsett känsliga personuppgifter rörande barn i beroendeställning, att behandlingen skett uppsåtligen samt att behandlingen kommit till Datainspektionens kännedom genom media. Som förmildrande omständighet beaktade Datainspektionen att behandlingen endast pågått under tre veckor.
Datainspektionens beslut går att läsa här.