Sverige: Förvaltningsrätten avslår överklagande om ansiktsigenkänning

Förvaltningsrätten har den 14 augusti 2020 (mål nr 20577-19) beslutat att avslå gymnasienämnden i Skellefteå kommuns överklagande av Datainspektionens beslut i fråga om ansiktsigenkänning på en skola (läs mer om Datainspektionens beslut här).

Datainspektionen beslutade den 20 augusti 2019 att gymnasienämnden i Skellefteå kommun (nämnden) genom att använda ansiktsigenkänning via kamera för närvarokontroll av elever har behandlat personuppgifter i strid med artikel 5 dataskyddsförordningen (“GDPR”) genom att behandla elevers personuppgifter på ett för den personliga integriteten mer ingripande sätt och omfattat fler personuppgifter än vad som är nödvändigt för det angivna ändamålet (närvarokontroll), artikel 9 genom att ha behandlat känsliga personuppgifter (biometriska uppgifter) utan att för behandlingen ha ett giltigt undantag från förbudet att behandla känsliga personuppgifter, och artiklarna 35 och 36 genom att inte ha uppfyllt kraven på en konsekvensbedömning och inte ha kommit in med ett förhandssamråd till Datainspektionen. Med anledning av detta bötfälldes nämnden med stöd av 6 kap. 2 § lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning (“dataskyddslagen”) och artiklarna 58.2 och 83 i GDPR med 200 000 kronor, samt tilldelades även en varning med stöd av artikel 58.2 a i GDPR.

Nämnden överklagade Datainspektionens beslut och yrkade att beslutet ska upphävas. Som grund för sitt överklagande anförde nämnden bland annat att rättslig grund för behandling av personuppgifter och grund för behandling av känsliga personuppgifter funnits genom det samtycke som lämnats av både eleverna och vårdnadshavarna. Nämnden anförde vidare att någon betydande ojämlikhet inte funnits mellan nämnden och de registrerade eleverna då varken betygsättande lärare, rektor eller skolan i övrigt varit ansvariga för hur projektet skulle genomföras, utan det var istället konsulter som ansvarade för projektet och som hade direktkontakt med eleverna och tydliggjorde för dem att medverkan var frivillig. Personuppgiftsbehandlingen som gjordes var i förhållande till sitt ändamål nödvändig och behövdes för att närvarokontrollen skulle kunna genomföras på ett korrekt och säkert sätt.

I ett yttrande till Förvaltningsdomstolen vidhöll Datainspektionen sitt beslut och anförde därtill bland annat att ojämlikheten mellan den personuppgiftsansvarige och den registrerade är en faktor av avgörande betydelse för om ett samtycke ska kunna anses frivilligt och kunna utgöra den rättsliga grunden för en behandling av personuppgifter. Även om de övriga villkoren för ett samtycke skulle vara uppfyllda ansåg Datainspektionen att samtycket inte var giltigt eftersom det inte kunde anses som frivilligt om det råder en betydande ojämlikhet i maktförhållandet mellan den registrerade och den personuppgiftsansvarige. Detta gäller särskilt om den personuppgiftsansvarige är en offentlig myndighet.

Förvaltningsrätten ansåg inte att det har kommit fram skäl att göra någon annan bedömning än den Datainspektionen. Datainspektionen hade således haft fog för sitt beslut varför domstolen avslog överklagandet.

Ta del av Förvaltningsrättens beslut här.

Ta del av nämndens överklagande här och komplettering till överklagande här.

Vill du lära dig mer om GDPR och informationssäkerhet kan du läsa om våra aktuella kurser här.

Vill du ha hjälp med rådgivning i frågor om dataskydd och informationssäkerhet kan du läsa mer här.

Relaterade nyheter

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Gå kurs med oss

06 OKT

Säkerhet för
icke-tekniker

Få en övergripande introduktion till säkerhet vid behandling av personuppgifter.

13 OKT

Privacy by Design
& Privacy by Default

Öka dina kunskaper om GDPR:s krav på inbyggt dataskydd och dataskydd som standard.

10 NOV

Artificiell intelligens & personuppgifter

Få en genomgång av de viktigaste reglerna för AI ur ett dataskyddsperspektiv.