Agencia Española de Protección de Datos (AEPD) har utfärdat en sanktionsavgift på 160 000 euro mot ett universitet för överträdelser av dataskyddsförordningen (GDPR) vid användning av ett övervakningssystem med ansiktsigenkänning under onlineprov.
Bakgrund
Under 2024 införde universitetet ett system för att övervaka studenter som genomförde tentor online. Systemet använde ansiktsigenkänning för att verifiera studenternas identitet och upptäcka misstänkt beteende genom video- och ljudövervakning under hela tentamen. Systemet användes under en testperiod och behandlade personuppgifter avseende 153 registrerade innan universitetet upphörde med användningen.
Dagen före tentamen skickade universitetet ett e-postmeddelande med ett samtyckesformulär till de berörda studenterna. De erbjöds möjligheten att genomföra tentamen utan ansiktsigenkänning vid ett senare tillfälle om de inte samtyckte, men övervakningssystemet skulle ändå vara aktivt. En registrerad lämnade in ett klagomål till AEPD, vilket ledde till myndighetens utredning.
Myndighetens bedömning
AEPD konstaterade inledningsvis att universitetet var personuppgiftsansvarigt eftersom det fastställde ändamålen och metoderna för behandlingen. Myndigheten slog också fast att det rörde sig om behandling av biometriska personuppgifter i den mening som avses i artikel 4.14 GDPR, eftersom syftet var att identifiera eller autentisera de registrerade.
AEPD ansåg att universitetet hade överträtt förbudet mot behandling av känsliga personuppgifter i artikel 9.1 GDPR. Universitetet hade åberopat samtycke som rättslig grund enligt artikel 9.2 (a) GDPR, men AEPD bedömde att samtycket inte uppfyllde GDPR:s krav på att vara frivilligt. Det faktum att studenterna informerades om behandlingen och tillfrågades om samtycke dagen före tentamen innebar en tidspress som påverkade deras möjlighet att fritt ta ställning. AEPD noterade också att den information som lämnats vid anmälningstillfället var vag och inte nämnde behandling av personuppgifter genom ansiktsigenkänning.
Vidare konstaterade AEPD en överträdelse av kravet på konsekvensbedömning avseende dataskydd (DPIA) enligt artikel 35 GDPR. Universitetet hade genomfört konsekvensbedömningen först efter att behandlingen inletts, och den var inte undertecknad. AEPD underströk att behandling av biometriska uppgifter inte är riskfri och att universitetet därför borde ha övervägt nödvändigheten och proportionaliteten i behandlingen innan den påbörjades. Att universitetet i efterhand erbjöd ett alternativ utan ansiktsigenkänning visade enligt AEPD att man underlåtit att i förväg pröva mindre ingripande metoder.
Den ursprungliga sanktionsavgiften uppgick till totalt 200 000 euro, 50 000 euro för överträdelsen av artikel 9 GDPR och 150 000 euro för överträdelsen av artikel 35 GDPR, men sänktes till 160 000 euro efter att universitetet betalat omgående och erkänt sitt ansvar.
Praktiska konsekvenser
Beslutet visar att organisationer som överväger att använda biometriska system, exempelvis för autentisering vid digitala prov eller andra kontrollsyften, måste säkerställa att behandlingen vilar på en giltig rättslig grund redan från start. Samtycke som inhämtas under tidspress eller utan tillräcklig information uppfyller inte GDPR:s krav på frivillighet och informerat beslutsfattande.
Beslutet understryker också att en konsekvensbedömning ska vara genomförd och dokumenterad innan behandling av känsliga uppgifter inleds. Det är inte tillräckligt att genomföra bedömningen i efterhand. Organisationer bör vidare, som en del av processen, systematiskt pröva om mindre ingripande alternativ finns tillgängliga.
Relaterad expertis
TechLaw bistår verksamheter i frågor som rör dataskydd, personuppgiftsansvar och regelefterlevnad enligt GDPR. Läs mer om vår expertis inom dataskydd och integritet.
Har ni frågor om hur dataskyddsreglerna påverkar er verksamhet är ni välkomna att kontakta oss.
Källa: AEPD.