Ansiktsigenkänning i skola blev föremål för GDPR-böter

Use of facial recognition is a privacy violation according to new decision by Swedish privacy regulator
Use of facial recognition in school subject to GDPR fine. Photo by Arvin Febry

En kommunal skola i Sverige filmade sina elever i syfte att registrera deras närvaro. Skolan dömdes till att betala böter på 200 000 kr. Användningen av ansiktsigenkänning stred mot GDPR eftersom den ansågs vara allt för påträngande i relation till behandlingens syfte.

Lästid: 4 min

Beslutet i korthet

Den 20 augusti 2019 bötfälldes skolan av Datainspektionen för sin användning av ansiktsigenkänning. Att använda programvara för ansiktsigenkänning för att delta i undervisning ansågs alltså vara ett intrång i privatlivet. Sådana program för ansiktsigenkänning samlar in biometriska uppgifter som enligt GDPR anses vara känsliga uppgifter. Många begränsningar gäller för användningen av biometriska uppgifter. Det finns andra metoder för att kontrollera närvaro på som är mindre integritetskänsliga. En skola kan inte använda samtycke från eleverna som rättslig grund eftersom de står i en beroendeställning till skolan. Inte heller uppfyllde den riskbedömning som hade utförts kraven i GDPR.

Skolstyrelsen dömdes till 200 000 kronor i böter. Det största tänkbara bötesbeloppet för svenska myndigheter är 10 miljoner kronor.

Bakgrund

Tekniken med ansiktsigenkänning användes i ett försöksprojekt som pågick under tre veckor med 22 deltagande studenter. Syftet med försöket var att utforma en effektiv närvarokontroll. Klassrummens ingångar var utrustade med kameror och programvaran för ansiktsigenkänning jämförde och matchade bilderna från elevernas ansikte med bilder på identifierade studenter. Bild och namn på identifierade elever sparades på en lokal dator som saknade internetuppkoppling och som förvarades i ett låst skåp. Den kommunala skolan förlitade sig på samtycke som rättslig grunden för användning av den nya tekniken. Datainspektionen begränsade sin granskning och berörde inte frågor kring säkerhet och information.

Biometriska uppgifter är känsliga personuppgifter

Möjligheterna att använda biometriska uppgifter såsom ansiktsbilder är mycket begränsade och regleras i artikel 9 i GDPR. Sådan användning kan motiveras om det är nödvändigt enligt lag eller om den registrerade frivilligt har samtyckt till behandlingen. Samtycke lämpar sig inte som laglig grund när det föreligger någon typ av obalans mellan parterna, t.ex. som i relationen mellan skolan och eleverna. Dessutom är registreringen av närvaro en ensidig kontrollåtgärd av skolan vilket gör samtycke olämpligt som rättslig grund. Behandlingen kunde inte heller motiveras av ett betydande allmänintresse.

För mycket data i förhållande till ändamålet

En av huvudpunkterna i integritetsskyddslagstiftningen är att personuppgifter ska behandlas på ett rättvist, öppet och lagligt sätt. Det innebär att personuppgiftsbehandling ska göras med hänsyn till den registrerade och att alternativa och mindre identitetskänsliga tillvägagångssätt som uppnår ändamålet ska väljas, när så är möjligt.

I det aktuella fallet konstaterade Datainspektionen att mindre integritetskänsliga tillvägagångssätt att ta klassnärvaro på, t.ex. genom ett nyckelkortssystem. Därför var försöksprojektets dataanvändning oproportionerlig.

Det är viktigt att studenternas integritet skyddas och användning av programvara för ansiktsigenkänning i kombination med videoövervakning var allt för påträngande. Insamlade personuppgifter ska vara adekvata, relevanta och nödvändiga i förhållande till ändamålet och uppgifter som har insamlats för ett ändamål bör inte användas för andra ändamål.

Är det fortfarande lagligt att använda ansiktsigenkänning?

Under vissa omständigheter kan ansiktsigenkänning vara lagligt.

I större delen av EU är det lagligt om det finns rigorösa integritets- och säkerhetsmekanismer. Det är inte lagligt att använda ansiktsigenkänning i skolor eller runt barn om det finns andra medel tillgängliga.

Den tillträdande Europeiska kommissionen undersöker regleringen av automatisk identifiering av enskilda personer. I juni 2019 presenterade  EU:s expertgrupp på hög nivå om artificiell intelligens rekommendationer och etiska principer för användning av AI. I början av 2020 kommer dessa riktlinjer att presenteras som ett reviderat dokument och träda i kraft.

Vad är syftet med ansiktsigenkänning?

Ansiktsigenkänning är en biometrisk programvara som kan identifiera en person utifrån jämförelse av mönster baserade på bl.a. ansiktskonturer. Tekniken används främst för säkerhetsändamål (autentisering) som är lagligt accepterad.

Det finns ett växande intresse av att använda tekniken i marknadsföring för att bättre rikta en kund i verkliga livet. Att använda ansiktsigenkänning på detta sätt är komplicerat att motivera eftersom det kan finnas alternativ med mindre data.

Tolkning av beslutet (konsekvensbedömning och föregående samråd är krav)

En intressant punkt med beslutet är att konsekvensbedömningar är ett måste enligt GDPR. Någon form av riskbedömning kommer inte att förfaller. Detta beslut stöder en strikt tolkning av GDPR:s regler om dataskyddsavtal i artikel 35.

Utför en DPIA  innan du använder ny teknik. Teknik som ansiktsteknik, maskininlärning, sentimentanalys eller emotionell spårning är känsliga. Bekräfta att det är troligt att du måste rådgöra med din övervakande myndighet. Detta kommer att vara standardmetoden och inte tyda på något fel.

Beslutet är för närvarande överklagat. Vi kommer att uppdatera denna analys i takt med att ärendet utvecklas.

LÄMNA ETT SVAR

Please enter your comment!
Please enter your name here