Är Sveriges första sanktion enligt GDPR en papperstiger?

Författare:

|

Datum:

|

KRÖNIKA – av Mattias Gotthold, jurist och dataskyddsombud samt ledamot i Forum för dataskydds styrelse.

En gymnasieskola, Anderstorpsgymnasiet, i Skellefteå kommun hade ett försöksprojekt där de tog närvaro på elever i skolan genom ansiktsigenkänning med kamera. På grund av detta har Datainspektionen nu beslutat att den ansvariga nämnden i kommunen, gymnasienämnden, ska betala en sanktionsavgift på 200 000 kronor och har höjt fingret samt varnat för att deras planer på att använda ansiktsigenkänning i framtiden (sannolikt) bryter mot GDPR.

Vid en första anblick kan 200 000 kronor uppfattas som en låg kostnad för ett så pass omfattande integritetsintrång som det som skedde på Anderstorpsgymnasiet. En kan då undra, kan ett sådant lågt belopp verkligen verka avskräckande med hänsyn till det stora integritetsintrånget som övervakningen medförde? En mindre nogräknad organisation skulle kunna se en sådan sanktion som en hyfsat liten kostnad för att vara konkurrenskraftig i den hårda konkurrensen. Och därför strunta i integritetsskyddande åtgärder för att först vid en eventuell upptäckt och sanktion vidta åtgärder. När jag läste beslutet från Datainspektionen blev jag dock övertygad om att sanktionen – efter första anblick – är avskräckande.

Av Datainspektionens beslut framgår att Skellefteå kommun bortsett från grundläggande dataskydd och därigenom brutit mot såväl GDPR som svensk grundlag. I regeringsformen framgår att vi inte ska behöva utstå betydande integritetsintrång från våra myndigheter som är orimliga. När det kommer till GDPR framgår vidare av Datainspektionens beslut att:

– brott mot två grundläggande principer i GDPR har begåtts 
– ansiktsigenkänningen (biometrisk data, alltså känsliga personuppgifter) skett utan giltig rättslig grund 
– kommunen inte gjort nödvändiga riskbedömningar (konsekvensbedömning)
– kommunen inte haft samråd med Datainspektionen trots de uppenbara riskerna med behandlingen

Utöver detta bedömde Datainspektionen att det var särskilt allvarligt att:

– den olagliga övervakningen var avsiktlig 
– Datainspektionen fick kännedom om behandlingen genom media
– eleverna var i en beroendeställning i förhållande till kommunen 
– att övervakningen skedde på barn (barn anses vara särskilt skyddsvärda)

Datainspektionen ansåg att det handlade om ett stort intrång i elevernas integritet. Och detta landade i en sanktion på 200 000 kr och en varning. Frågan är då, är 200 000 kr i sanktion utifrån fallet avskräckande? Avseende den frågan tycker jag följande ska beaktas.

För det första är den högsta möjliga sanktionsavgiften 10 miljoner kr för myndigheter. För det andra om sanktionen proportionellt översätts till den som gäller för företag, 20 miljoner euro, skulle det istället handla om ca. 4,3 miljoner kr. För det tredje avsåg den sanktionsgrundande övervakningen ett integritetsintrång på 22 elever under tre veckors tid. Vid sidan om detta finns det skäl att uppmärksamma att Datainspektionen inte utredde alla brister som kan tänkas förekommit i samband med behandlingen, de granskade inte om informationsplikten eller säkerheten i behandlingen var förenlig med GDPR.

Hade de lyft in detta i granskningen kunde sanktionen varit högre. Nu går det antagligen inte att översätta 200 000 kr till 4,3 miljoner kr rakt av om det hade varit ett företag, men om en friskolekoncern hade fått en sanktion på 4,3 miljoner för ett försöksprojekt på en klass elever under tre veckors tid hade vi inte ägnat en enda tanke åt om sanktionen verkligen är avskräckande eller inte.

Med detta som bakgrund anser jag att sanktionen är precis som det står i lagen att den ska vara – effektiv, proportionell och avskräckande.

Källa: https://www.dagensjuridik.se/kronikor/ar-sveriges-forsta-sanktion-enligt-gdpr-en-papperstiger/