Förvaltningsrätten har den 14 augusti 2020 (mål nr 20577-19) beslutat att avslå gymnasienämnden i Skellefteå kommuns överklagande av Datainspektionens beslut i fråga om ansiktsigenkänning på en skola.
Datainspektionen beslutade den 20 augusti 2019 att gymnasienämnden i Skellefteå kommun (nämnden) genom att använda ansiktsigenkänning via kamera för närvarokontroll av elever har behandlat personuppgifter i strid med artikel 5 dataskyddsförordningen (“GDPR”) genom att behandla elevers personuppgifter på ett för den personliga integriteten mer ingripande sätt och omfattat fler personuppgifter än vad som är nödvändigt för det angivna ändamålet (närvarokontroll), artikel 9 genom att ha behandlat känsliga personuppgifter (biometriska uppgifter) utan att för behandlingen ha ett giltigt undantag från förbudet att behandla känsliga personuppgifter, och artiklarna 35 och 36 genom att inte ha uppfyllt kraven på en konsekvensbedömning och inte ha kommit in med ett förhandssamråd till Datainspektionen. Med anledning av detta bötfälldes nämnden med stöd av 6 kap. 2 § lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning (“dataskyddslagen”) och artiklarna 58.2 och 83 i GDPR med 200 000 kronor, samt tilldelades även en varning med stöd av artikel 58.2 a i GDPR.
Nämnden överklagade Datainspektionens beslut och yrkade att beslutet ska upphävas. Som grund för sitt överklagande anförde nämnden bland annat att rättslig grund för behandling av personuppgifter och grund för behandling av känsliga personuppgifter funnits genom det samtycke som lämnats av både eleverna och vårdnadshavarna. Nämnden anförde vidare att någon betydande ojämlikhet inte funnits mellan nämnden och de registrerade eleverna då varken betygsättande lärare, rektor eller skolan i övrigt varit ansvariga för hur projektet skulle genomföras, utan det var istället konsulter som ansvarade för projektet och som hade direktkontakt med eleverna och tydliggjorde för dem att medverkan var frivillig. Personuppgiftsbehandlingen som gjordes var i förhållande till sitt ändamål nödvändig och behövdes för att närvarokontrollen skulle kunna genomföras på ett korrekt och säkert sätt.
I ett yttrande till Förvaltningsdomstolen vidhöll Datainspektionen sitt beslut och anförde därtill bland annat att ojämlikheten mellan den personuppgiftsansvarige och den registrerade är en faktor av avgörande betydelse för om ett samtycke ska kunna anses frivilligt och kunna utgöra den rättsliga grunden för en behandling av personuppgifter. Även om de övriga villkoren för ett samtycke skulle vara uppfyllda ansåg Datainspektionen att samtycket inte var giltigt eftersom det inte kunde anses som frivilligt om det råder en betydande ojämlikhet i maktförhållandet mellan den registrerade och den personuppgiftsansvarige. Detta gäller särskilt om den personuppgiftsansvarige är en offentlig myndighet.
Förvaltningsrätten ansåg inte att det har kommit fram skäl att göra någon annan bedömning än den Datainspektionen. Datainspektionen hade således haft fog för sitt beslut varför domstolen avslog överklagandet.