Första sanktionsavgiften enligt GDPR är utfärdad i Sverige

Publicerat:21 augusti, 2019
Datainspektionen har den 20 augusti beslutat att utfärda en sanktionsavgift om 200 000 kr för Gymnasienämnden i Skellefteå kommun. Beslutet innehåller en hel del kring hur man ska tolka vissa bestämmelser i den gällande lagstiftningen och sammanfattas av advokat Sara Malmgren på Foyen Advokatfirma.

Datainspektionen har den 20 augusti beslutat att utfärda en sanktionsavgift om 200 000 kr för Gymnasienämnden i Skellefteå kommun. Gymnasienämnden har i strid med GDPR behandlat fler uppgifter än nödvändigt för ändamålet, och på ett sätt som är mer ingripande för den personliga integriteten än vad som är nödvändigt. Man har även behandlat känsliga uppgifter utan laglig grund och har brustit då en konsekvensbedömning inte har genomförts.

Datainspektionen har i detta ärende inte bedömt huruvida informationsplikten har iakttagits och inte heller frågor kring säkerhet. Sanktionsavgiften omfattar således inte lagöverträdelser kring dessa frågor.

Bakgrunden är att den aktuella gymnasieskolan i ett försöksprojekt införde närvarokontroll genom ansiktsigenkänning. Projektet genomfördes under 3 veckor och avsåg 22 elever. Det är biometriska uppgifter (ansiktsbilder) jämte för- och efternamn som har registrerats och behandlats. Syftet har uppgivits varit att spara tid, då närvarokontroll manuellt tar lång tid och ansiktsigenkänning bedömdes vara ett effektivt sätt att minska tidsåtgången.

Skolan har inhämtat samtycken från vårdnadshavare, och det har varit möjligt att avstå från att delta i projektet. Både Datainspektionen och Gymnasienämnden är överens om att det är nämnden som är personuppgiftsansvarig i detta fall.

Några saker är principiellt intressanta.

Samtycke

Ett samtycke måste vara frivilligt för att vara lagligt. Det räcker då inte med att man har möjlighet att inte samtycka, utan man måste även se på relationen mellan den som ger samtycke och den som begär det. I en offentlig verksamhet är utrymmet för frivilligt samtycke begränsat, konstaterar Datainspektionen. Inom skolområdet står eleven i beroendeställning till skolan, och det är dessutom ofta fråga om barn. I detta fall, då det rör närvarokontroll som dessutom är reglerad i lag råder det en betydande ojämlikhet anser Datainspektionen. Samtycket – såväl vad avser namn som ansiktsbilder (som utgör en s. k. känslig uppgift) är därför inte frivilligt och därmed inte lagligt.

Annan laglig grund för behandling

Om inte samtycke kan lämnas måste en annan laglig grund finnas för behandlingen.

Datainspektionen närvarokontroll på grund av skollagen utgör en uppgift av allmänt intresse, som i sig är en grund för behandling av personuppgifter (art 6.1e). Det kan även i delar utgöra en rättslig plikt för skolledningen, även det en grund för behandling (art 6.1 c).

Dock är intrånget i detta fall betydande, och om det innebär övervakning eller kartläggning av enskildas personliga förhållanden krävs uttryckligt lagstöd (enligt Regeringsformen). Närvarokontrollen är i sig alltså lagligt, men att det sätt på vilket detta skett kräver särskilt lagstöd som saknas i detta fall. De nu angivna grunderna, allmänt intresse och rättslig plikt, föreligger därför inte.

Datainspektionen konstaterar vidare att de särskilda bestämmelser om behandling av känsliga uppgifter i Dataskyddslagen (den svenska kompletterande lagstiftningen) inte är tillämpliga.

Laglig behandling

Slutligen menar Datainspektionen att närvarokontroll kan ske på sätt som är mindre integritetskänsliga för eleverna. Gymnasienämnden har således inte iakttagit de grundläggande skyldigheterna avseende såväl ändamål som uppgiftsminimering. Gymnasienämnden kan enkelt uttryckt uppnå samma resultat med andra medel.

Konsekvensbedömning

Till detta kommer frågan om konsekvensbedömning. Datainspektionen konstaterar att det finns flera faktorer som talar för att en konsekvensbedömning skulle göras i detta fall – kameraövervakning är en systematisk övervakning, det omfattar känsliga uppgifter i en miljö där barn befinner sig och det är fråga om ny teknik. Den riskbedömning som utförts är inte tillräcklig, och Gymnasienämnden har även avseende konsekvensbedömning inte följt gällande lagstiftning.

Kamerövervakning

Datainspektionen har även utrett frågan om skolan har behövt tillstånd för kameraövervakning enligt Kameraövervakningslagen. Så är inte fallet då kameran registrerade eleverna då de gick in i ett klassrum, vilket inte är tillgängligt för allmänheten.

Sanktionsavgiftens storlek

Vad gäller storleken på sanktionsavgiften konstaterar Datainspektionen att det inte är fråga om en mindre överträdelse, varför en reprimand inte är tillräckligt. Den sanktionsavgift som ska bestämmas ska vara effektiv, proportionell och avskräckande. När det gäller myndigheter kan sanktionsavgiften ”endast” uppgå till som mest 5 eller 10 miljoner kronor, vilket är väsentligt lägre än de i GDPR bestämda 10 eller 20 miljoner euro som kan komma ifråga (eller mer i vissa fall).

När Datainspektionen har fastslagit beloppet 200 000 kr, har man tagit hänsyn till att det varit fråga om flera olika överträdelser rörande flera artiklar, varav vissa utgörs av det mer allvarliga slaget (det högre sanktionsbeloppet). Vidare har man tagit hänsyn till att det avser känsliga uppgifter, det rör barn som dessutom varit i beroendeställning och det harvarit en uppsåtlig behandling. Dessa omständigheter är försvårande. En förmildrande omständighet är att det pågått under en begränsad tid (3 veckor) och att det endast omfattat 22 elever.

Sammanfattningsvis innehåller beslutet en hel del ledtrådar till hur man ska tolka vissa bestämmelser i den gällande lagstiftningen. Vilka uppgifter det rör och vilka som registreras är väsentliga faktorer att vara uppmärksam på i alla typer av organisationer. Vikten av att behandlingen är nödvändig, och att man måste överväga om det finns andra och mindre ingripande behandlingar som kan användas för de aktuella ändamålen likaså. Storleken på sanktionsavgiften ska bedömas utifrån det beloppsmässiga begränsade spann som gäller för myndigheter – hade det varit fråga om en liknande behandling i den privata sfären är det sannolikt att beloppet hade blivit större. Många bedömningar i detta ärende kan dock användas som tolkningsstöd även för privata företag.

____________

Sara Malmgren, advokat vid Foyen Advokatfirma