En kommunal skola i Sverige filmade eleverna för att registrera klassnärvaro. Skolan bötfälls med 20 000 euro. Användningen av ansiktsigenkänning bröt mot GDPR eftersom användningen var för påträngande och inte hade ett giltigt skäl.
Lästid: 4 min
Beslutet i kort
Den 20 augusti 2019 bötfällde den svenska tillsynsmyndigheten Integritetsskyddsmyndigheten (IMY) användningen av ansiktsigenkänning. Att använda programvara för ansiktsigenkänning för att ta klassnärvaro är ett brott mot integriteten. Programvara för ansiktsigenkänning samlar in biometriska data som är känsliga uppgifter enligt GDPR. Många begränsningar gäller för användningen av biometriska uppgifter. Det finns mindre integritetskränkande sätt att ta klassnärvaro. En skola kan inte använda samtycke från sina elever som rättslig grund. Eleverna kan inte ge sitt samtycke eftersom de är beroende av skolan. Dessutom uppfyllde riskbedömningen inte GDPR-kraven.
Skolstyrelsen fick böta 200 000 kronor (20 000 euro). Det största bötesbelopp svenska myndigheter kan få är 10 miljoner kronor (1 miljon euro).
Programvara för ansiktsigenkänning som används i ett testprojekt
Tekniken användes i ett försöksprojekt på tre veckor med 22 studenter som deltog. Syftet med försöket var att ta elevernas närvaro i klassen på ett effektivt sätt. Kameror filmade eleverna när de gick in i klassrummen. Ansiktsigenkänningsprogram jämförde och matchade ansikten med bilder på identifierade elever.
Bilder och namn på identifierade elever sparas på en lokal dator. Den här datorn hade ingen internetanslutning och lagrades i ett låst skåp. Den offentliga skolan förlitade sig på samtycke som rättslig grund för användningen av den nya tekniken.
Den svenska tillsynsmyndigheten genomförde en begränsad granskning. Informationssäkerhet och information till studenter ingick inte i granskningen.
Biometriska uppgifter är känsliga personuppgifter
Användning av biometriska data som ansiktsbilder är mycket begränsat enligt GDPR (artikel 9). Användning av ansiktsigenkänning kan vara motiverad om det är nödvändigt enligt lag, hälsa eller vid samtycke. Giltigt samtycke måste ges frivilligt. Samtycke kan inte användas som laglig grund när det inte finns någon balans mellan parterna. Det finns en tydlig ojämlikhet i relationen mellan skolan och eleverna. Dessutom är registrering av närvaro en ensidig kontrollåtgärd från skolan. Samtycke var inte den lämpliga rättsliga grunden. Behandlingen var inte heller motiverad som nödvändig av hänsyn till ett väsentligt allmänt intresse.
För mycket data som används för att ta klassnärvaro
Huvudpoängen med integritetslagstiftningen är att använda data på ett rättvist, öppet och lagligt sätt. Använd personuppgifter med försiktighet och välj alternativa sätt att uppnå målet med mindre data.
I det aktuella fallet fann den svenska tillsynsmyndigheten att det fanns mindre invasiva sätt att ta klassregistret. Till exempel skulle ett nyckelkortssystem för att registrera elevernas närvaro i klassen kunna uppfylla syftet. Därför var projektets användning av data oproportionerlig.
Att värna om elevernas integritet är en viktig uppgift. Användning av programvara för ansiktsigenkänning i kombination med videoövervakning var för påträngande. Uppgifter som samlas in för ett ändamål bör inte användas för andra ändamål än det ursprungliga syftet. Uppgifterna ska också vara adekvata, relevanta och begränsade till vad som är nödvändigt för att det huvudsakliga ändamålet ska kunna relateras.
Är det fortfarande lagligt att använda ansiktsigenkänning?
Ansiktsigenkänning kan vara lagligt under vissa omständigheter. I större delen av EU är det lagligt om det finns rigorösa integritets- och säkerhetsmekanismer. Det är inte lagligt att använda ansiktsigenkänning i skolor eller runt barn om andra medel finns tillgängliga.
Den EU-kommissionen tittar på att reglera den automatiska identifieringen av individer. I juni 2019 lade EU:s högnivåexpertgrupp för artificiell intelligens fram rekommendationer och etiska principer för användningen av AI. I början av 2020 träder dessa riktlinjer i kraft.
Vad är syftet med ansiktsigenkänning?
Ansiktsigenkänning är en biometrisk programvara som kan identifiera en person. En person identifieras genom en jämförelse av mönster baserat på ansiktskonturer och funktioner. Tekniken används mest för säkerhetsändamål (autentisering) vilket är lagligt accepterat.
Det finns ett växande intresse för att använda tekniken i marknadsföring för att bättre rikta in sig på en kund i verkliga livet. Att använda ansiktsigenkänning på detta sätt är komplicerat att motivera eftersom det kan finnas alternativ som använder mindre data.
Tolkning av beslutet (konsekvensbedömning och föregående samråd är krav)
En intressant poäng med beslutet är att konsekvensanalyser är ett måste enligt GDPR. Någon form av riskbedömning kommer inte att ske. Detta beslut stöder en strikt tolkning av dataskyddsförordningens regler om konsekvensbedömningar avseende dataskydd i artikel 35.
Utför en konsekvensbedömning (DPIA) innan du använder ny teknik. Tekniker som ansiktsteknik, maskininlärning, sentimentanalys eller känslomässig spårning är känsliga. Bekräfta att det är troligt att du måste rådgöra med din tillsynsmyndighet. Detta kommer att vara standardmetoden och inte ett tecken på några felaktigheter.
Beslutet är för närvarande överklagat. Vi kommer att uppdatera denna analys när ärendet utvecklas.