Fråga:
Jobbar i en kommun där man avser att via ett företag köpa in ett program för att screena samtliga elever i grundskolan. Företaget använder AI och registrerar ögonrörelser och spelar samtidigt in eleven som läser en text för att mäta läsflyt. Uppgifterna (ögonrörelser och ljudupptagning) för varje individ sparas och regelbundet under skoltiden ska det registeras hos samtliga elever i kommunen. Detta för att mäta progression både på individnivå, gruppnivå och skolenheter. I och med att samtliga elevers ögonrörelser och ljudupptagningar kommer lagras och det sannolikt blir obligatoriskt/inte frivilligt undrar jag om det är lagligt.
Mikael
Svar:
(Svaret uppdaterat 20-04-24)
Idag fick jag ett svar på den fråga jag ställde till Datainspektionen i februari. Min fråga och deras svar finns längre ned (punkt 2 och 3) och mina slutsatser i punkt 4, men först upprepar jag det ursprungliga svar jag gav dig Mikael.
1) ”Hej Mikael,
Jag är mycket tveksam till en personregistrering av elever på det sätt som du anger i frågan. Den handlar om biometriska uppgifter som registreras, i detta fall via ögonrörelser, i andra sammanhang via ansiktsigenkänning. Sådan registrering ses som mycket känslig i dataskyddsförordningen (GDPR) och starka skäl måste finnas för att få registrera ögon- och ansiktsrörelser.
Datainspektionen har provat ett ärende på en skola i Skellefteå, där ansiktsigenkänning utnyttjades för att kontrollera vilka elever som kom till klassrummet. Detta provades på försök i en klass under kort tid, tre veckor. Datainspektionen bedömde att inte ens ett samtycke från de gymnasieelever det gällde var tillräckligt för att få personregistrera biometriskt, eftersom samtycket gavs ”i ett betydande ojämlikt förhållande mellan gymnasienämnden och eleverna…” . Man utdömde administrativa sanktionsavgifter i höstas på 200 000 kronor, ett beslut som av kommunen har överklagats till förvaltningsrätten.
Jag avråder alltså bestämt från att införa en screening av det här slaget. Det kan i värsta fall bli en mycket dyr erfarenhet. Ta gärna kontakt med Datainspektionen innan försöket inleds för att få deras bedömning av rättsläget i förhållande till registreringens syfte.”
Ovanstående svar tog jag tillfälligt bort i väntan på klargörande svar från Datainspektionen till vilka jag alltså ställde en fråga. Min uppfattning är att om ögonrörelser via beskriven teknik på något sätt kan kopplas till viss person är det sannolikt att GDPR sätter upp hinder för personregistrering.
2) Min fråga till Datainspektionen lydde:
”Hej,
Det förekommer att skolans huvudmän men kanske även andra använder sig av krypterad biometrisk personregistrering via ögonrörelser, ljudinspelningar m.m. för att spåra utveckling hos elever.
En frågeställare skriver till mig: Företaget XXXXX använder AI ochregistrerar ögonrörelser och spelar samtidigt in eleven som läser en text föratt mäta läsflyt. Uppgifterna (ögonrörelser och ljudupptagning) för varjeindivid sparas och regelbundet under skoltiden ska det registeras hos samtliga elever i kommunen. Detta för att mäta progression både på individnivå, gruppnivå och skolenheter. I och med att samtliga elevers ögonrörelser och ljudupptagningar kommer lagras och det sannolikt blir obligatoriskt/inte frivilligt undrar jag om det är lagligt…
Företagets grundare skriver på min förfrågan: Det finns en spårbarhet, men den är krypterad och skild från ögonrörelse och ljudinformationen. Möjligheten att koppla ihop datakällorna är bara möjlig för det som ska ha tillgång till dem. Syftet med insamling och bearbetning är aldrig att identifiera en individ eller möjliggöra något liknande. Personuppgifterna har vi redan och hanterar enligt gällande bestämmelser och vidare så säkert som möjligt.
Jag svarar hen: Hej, ett intressant tillägg. Krypterad spårbarhet av biometrisk info. Gissar att sådana frågor framgent kommer att prövas via GDPR och svensk kompletterande dataskyddslag.
Jag svarar vidare: Rättsläget är oklart tills praxis finns. Men det kan vara ok, hur ska jag kunna veta?
Mina frågor till Datainspektionen är nu: 1) Har denna fråga prövats av er eller har ni uttalat er om detta i något sammanhang? 2) Hur ser rättsläget ut? Jag vill inte att ni uttalar er mer specifikt utifrån mitt avidentifierad exempel utan mer principiellt. Vilken betydelse har en kryptering av personuppgifter när de ändå kan identifieras kopplade till viss individ. Syftet är inte att de ska kopplas till specifik individ men möjligheten finns.
Ett snabbt svar önskas om möjligt. Tack för det.
Hälsningar
Staffan Olsson”
3) Datainspektionen svarade den 24 april 2020: ”
Hej!
Inledningsvis kan nämnas att Datainspektionen inte kan ge något bindande besked inom ramen för upplysningstjänsten, däremot kan inspektionen ge följande allmänna information.
I artikel 4.1 i dataskyddsförordningen definieras personuppgifter som följer: varje upplysning som avser en identifierad eller identifierbar fysisk person [ ], varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidentifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet.
Av skäl 26 i förordningen framgår att begreppet personuppgift är brett och att för att avgöra om en fysisk person är identifierbar bör beaktas alla hjälpmedel som antingen den personuppgiftsansvarige eller en annan person rimligen kan komma att använda för att direkt eller indirekt identifiera den fysiska personen.
Frågan om bl.a. kryptering av biometriska personuppgifter (ögonrörelser) har inte prövats av Datainspektionen. Inspektionen har tidigare uttalat att kryptering är en säkerhetsåtgärd och att så länge det finns en spårbarhet t.ex. en krypteringsnyckel kvar så är det fortfarande fråga om personuppgifter. Det innebär att information som är kodad kan vara en personuppgift om det finns en kodnyckel som möjliggör bakvägsidentifiering.
Följande beslut om kryptering och spårbarhet kan vara av intresse även om beslutet är från 2015 då personuppgiftslagen gällde: https://www.datainspektionen.se/nyheter/2015/besoksflodena-i-vasteras-mats-for-noggrant/
Slutligen ber jag om ursäkt för att svaret har dröjt.
Vänliga hälsningar
Caroline Cruz Julander
Jurist, Datainspektionen
www.datainspektionen.se ”
4) Mina slutsatser efter Datainspektionens svar:
Rättsläget är som synes oklart, eftersom frågan om kryptering via ögonrörelser hittills inte har prövats av Datainspektionen eller i domstol. Men finns, som inspektionen skriver, en spårbarhet via t.ex. en krypteringsnyckel, så är det fortfarande fråga om personuppgifter enligt GDPR som gör bakvägsidentifiering möjlig.
Mitt råd är naturligtvis att företaget det gäller själv tar kontakt med Datainspektionen för ett klargörande om huruvida den använda tekniken uppfyller lagstiftningens krav. De jurister företaget anlitade för sin ”friande” rapport fann att lagstiftningen följdes. Enda sättet att få detta bekräftat är att hos Datainspektionen begära ett förhandssamråd eller motsvarande. Då vet företaget, skolhuvudmannen, skolpersonal och berörda elever/föräldrar att registreringen av de biometriska uppgifter det gäller följer bestämmelserna.
Hälsningar
Staffan O