Förvaltningsrätten delar Datainspektionens uppfattning. Ett giltigt samtycke till behandling av känsliga personuppgifter kan inte inhämtas av en förälder till ett barn i en gymnasieskola när gymnasienämnden som efterfrågar samtycket har en maktposition över barnet i egenskap av offentligt organ. Gymnasienämnden skulle ha samrått med Datainspektionen innan behandlingen av känsliga personuppgifter påbörjades.
Gymnasienämnden i Skellefteå kommun fattade beslut om att tillåta att en gymnasieskola, för närvarokontroll, skulle få använda ansiktsigenkänning via kamera under en testperiod för att kontrollera elevernas närvaro. Innan lärarna på skolan började använde denna metod för närvarokontroll tillfrågades elevernas föräldrar om de samtycke till användandet av verktyget. De elever vars föräldrar inte godkände användandet av ansiktsigenkänning för närvarokontroll, skulle få sin närvaro kontrollerad enligt tidigare rutiner.
Den 20 augusti år 2019 beslutade Datainspektionen att gymnasienämnden skulle betala en sanktionsavgift till staten på sammanlagt 200 000 kronor med anledning av brott mot bland annat artikel 9 och artikel 36 i Dataskyddsförordningen (”GDPR”). Förvaltningsrätten delade Datainspektionens bedömning avslog den 14 augusti år 2020 gymnasienämndens överklagande, vilket innebär att Datainspektionens beslut står fast.
Att skanna av personers ansikten är en hantering av biometriska uppgifter, vilket är känsliga personuppgifter. Att hantera känsliga personuppgifter är enligt GDPR förbjudet, men kan vara lagligt om den person vars känsliga uppgifter samlas in har samtyckt till behandlingen eller det annars finns en tillämplig undantagsregel.
Det första intressanta i detta mål var att Datainspektionen förklarade att föräldrarna till barnen aldrig kunde lämna ett fullgott samtycke enligt GDPR:s krav, eftersom att föräldrarna i egenskap av ombud för sina barn var i beroendeställning till gymnasienämnden. Ett giltigt samtycke kan inte inhämtas under sådana omständigheter. Gymnasienämnden hade alltså brutit mot artikel 9 GDPR genom att sakna en giltig undantagsregel som legitimerar behandlingen av känsliga personuppgifter.
Det andra intressanta i detta mål var att Datainspektionen gick in på en regel som för många nog är okänd, nämligen artikel 36 i GDPR. Denna bestämmelse klargör att i det fall en personuppgiftsansvarig är osäker på om en behandling av en personuppgift är tillåten, ska den personuppgiftsansvarig samråda med Datainspektionens i frågan innan behandlingen påbörjas.
Sanktionsavgiften bestämdes till 200 000 kronor, ett belopp som är relativt lågt i förhållande till det högsta belopp som kan dömas ut gentemot myndigheter: nämligen 10 miljoner kronor för varje överträdelse.
__________________________________
Allt om Juridik
Källa: Blendow Lexnova
Foto: Magnus Hjalmarson Neideman / SvD / TT