En skola fick inte använda ansiktsigenkänning för närvarokontroll och samtycket var ogiltigt eftersom eleverna är i en beroendeställning gentemot nämnden. Det är inte tillåtet att använda samtycke som rättslig grund när det råder en ojämlikt maktförhållande mellan parterna, såsom mellan arbetsgivare och arbetstagare eller elev och skola/nämnd.
Skola fick inte använda ansiktsigenkänning för närvarokontroll
Gymnasienämnden hade under tre veckor provat använda ansiktsigenkänning på ungefär 20 elever och övervägde att göra det i framtiden i större skala. Anledningen var att de ville göra processen att registrera närvaro på elever mer effektivt. Därmed ansåg de att de kunde spara mycket tid genom att effektivisera processen som tar ungefär 10 minuter per lektion. De fick godkännande från vårdnadshavarna till eleverna. Tillsynsmyndigheten konstaterade dock att det inte spelade någon roll om det var ett försöksprojekt eller inte, eftersom GDPR inte har några undantag för det. Därför skulle reglerna i GDPR gälla även för denna behandling av personuppgifter.
Samtycke när maktförhållandet är ojämlikt
Den rättsliga grunden för behandlingen i fråga var samtycke, vilket tillsynsmyndigheten konstaterade var ogiltigt. Ett samtycke måste vara frivilligt för att vara giltigt och när det råder betydande ojämlikhet mellan parternas maktförhållanden är det svårt att säkerställa att samtycket är frivilligt lämnat. Till exempel är samtycke mellan arbetsgivare och arbetstagare inte heller lämpligt och i vissa fall ogiltigt. Detsamma gäller om den personuppgiftsansvarige är en offentlig myndighet. För offentliga myndigheter är användningen av samtycke väldigt begränsad.
Biometriska uppgifter är känsliga personuppgifter enligt GDPR
Ansiktsigenkänning innebär en behandling av biometriska uppgifter som är känsliga personuppgifter enligt GDPR. Enligt huvudregeln i artikel 9.1 GDPR är det förbjudet att behandla känsliga personuppgifter, men det finns undantag angivna i artikel 9.2 GDPR. Däremot bör man se om det finns andra tillvägagångssätt för att uppnå samma mål som är mindre integritetskränkande. Det var något den svensks tillsynsmyndigheten kom fram till i detta ärende. Skolan kunde nämligen använda andra sätt för att göra närvarokontrollen, då kamerabevakningen varit ett intrång i integriteten.
Tillsynsmyndigheten i Sverige (Integritetsskyddsmyndigheten) konstaterade att nämnden behandlade personuppgifter i strid mot följande bestämmelser och artiklar i GDPR:
Artikel 5 eftersom det inte är tillåtet att behandla fler personuppgifter än nödvändigt för ändamålet, vilket skolan gjorde i detta fall.
Artikel 9 eftersom behandlingen avsåg känsliga personuppgifter, men inte omfattades av något undantag.
Artiklarna 35 och 36 då skolan inte uppfyllde kraven på en konsekvensbedömning. Dessutom begärde de aldrig ett förhandssamråd med tillsynsmyndigheten.
Sanktionsavgift
Tillsynsmyndigheten beslutade att nämnden skulle betala 200 000 kr i sanktionsavgift för dessa brott mot GDPR. Dessutom konstaterade de att en fortsatt användning av ansiktsigenkänning för att utföra en närvarokontroll med stor sannolikhet kommer vara en överträdelse av artikel 5 och 9 i dataskyddsförordningen.