Frågor & svar: Webbinariet Trygghets­mätning i offentliga miljöer med hjälp av IoT-teknik

Den regulatoriska sandlåda för AI som ska inrättas i varje EU-medlemsstat enligt den kommande AI-förordningen är mer formaliserad och regelstyrd än den regulatoriska sandlåda som IMY bedriver. Det är IMY själv som har bestämt formerna för hur IMY:s regulatoriska sandlåda ska bedrivas.

Enligt den kommande AI-förordningen ska EU-kommissionen ta fram så kallade genomförandeakter för hur den regulatoriska sandlådan för AI ska fungera och bedrivas. Syftet med detta är att den ska fungera på samma, eller åtminstone liknande, sätt inom hela EU. En grundläggande likhet mellan IMY:s regulatoriska sandlåda och AI-förordningens regulatoriska sandlåda är att man analyserar ett verkligt fall tillsammans med externa projektdeltagare.

Det är viktigt att komma ihåg att AI-förordningen inte påverkar, utan kompletterar, dataskyddsförordningen (GDPR). Dataskyddsförordningen kommer alltså att gälla fullt ut vid sidan av AI-förordningen. AI-förordningen kommer inte att skapa några undantag från dataskyddsförordningen. Däremot skapar den en rättslig grund för vissa typer av personuppgiftsbehandlingar som sker inom ramen för den regulatoriska sandlådan för AI enligt AI-förordningen. Alla former av personuppgiftsbehandlingar behöver stödja sig på en rättslig grund i dataskyddsförordningen för att vara lagliga.

Rättslig grund

I mars 2024 kommer det tredje projektet i IMY:s regulatoriska sandlåda att dra igång. Projektdeltagarna är Lidingö stad och Atea Sverige AB. I projektet kommer vi att titta på dataskyddsrättsliga frågor relaterade till generativ AI och utlämnandet av allmänna handlingar. Mer information om projektet kommer inom kort.

Trafikkontorets önskemål var att ta fram data om andelen kvinnor, män respektive barn som rör sig på ett offentligt torg med hjälp av LiDAR-sensorer. Genom att få en representativ lägesbild över hur fördelningen ser ut på en viss plats, kan Trafikkontoret planera och vidta trygghetsskapande åtgärder för att främja kvinnor och barn om de skulle vara underrepresenterade på platsen.

För mer information angående denna fråga, läs sidorna 9-10 i slutrapporten.

Slutrapport Trygghetsmätning i offentliga miljöer med hjälp av IoT-teknik (pdf, 3 MB)

Det går inte att ge något generellt svar på denna fråga då man alltid måste göra en bedömning i varje enskilt fall. Som vi lyfter i slutrapporten är det exempelvis inte alltid givet att en LiDAR-sensors utdata genererar personuppgifter enligt dataskyddsförordningen (GDPR), se sidan 18 i slutrapporten. I sådana fall är heller inte dataskyddsförordningen eller kamerabevakningslagen tillämplig.

Slutrapport: Trygghetsmätning i offentliga miljöer med hjälp av IoT-teknik (pdf, 3 MB)

Vad som i praktiken är tekniskt möjligt är till stor del avhängigt av kapaciteten av de AI-algoritmer som ska användas i det enskilda fallet. Det går därmed inte att ge något generellt svar på denna fråga.

Med personuppgifter avses i dataskyddsförordningen (GDPR) varje upplysning som avser en identifierad eller identifierbar fysisk person. Avgörande är att uppgiften, enskilt eller i kombination med andra uppgifter, kan knytas till en levande person. Skulle man använda sig av en sensor med så låg upplösning att identifiering av individer inte är möjlig blir förordningen inte tillämplig.

IMY har publicerat ett blogginlägg rörande kamerabevakning med integritetsvänlig teknik som kan vara till hjälp vid liknande bedömningar.

Behandlas personuppgifter vid kamerabevakning med integritetsvänlig teknik?

IMY har ännu inte i beslut eller vägledning tagit ställning till frågan om kamerabevakningslagen är tillämplig på en anordning där det under hela processen är tekniskt omöjligt att komma åt utdata eller originalvideo. Däremot har IMY genom ett beslut bedömt att det är fråga om personbevakning och att kamerabevakningslagen är tillämplig i ett fall där originalvideo bearbetades och maskerades på en central server en kort tid efter bildupptagningen.

IMY konstaterade att tekniska åtgärder för att förhindra åtkomst till originalvideon höjer integritetsskyddet men medför inte att behandlingen upphör att utgöra personuppgiftsbehandling eller personbevakning.

IMY:s beslut tillsyn Kungälv (pdf, 182 kB) 

I kamerabevakningslagen står det varaktig eller regelbundet upprepad personbevakning. Det är alltså själva personbevakningen som ska vara varaktig eller regelbundet upprepad. Syftet med användningen av kamerautrustningen saknar då betydelse. Även bevakning som sker vid tillfällen som är utspridda över tid kan betraktas som varaktig om det är fråga om en systematisk användning. På samma sätt kan bevakning på en ödslig plats, exempelvis kameror som är monterade intill en gångstig i skogen, omfattas av kamerabevakningslagen om människor med viss regelbundenhet passerar längs stigen och det samtidigt är möjligt att identifiera dem. Detta gäller även om den aktuella personbevakningen inte skulle ske i någon större omfattning.

Å andra sidan finns det möjlighet att undvika personbevakning, vilket innebär att kamerabevakningslagen inte blir tillämplig. Exempelvis vid bevakning från drönare, om man börjar filma från en viss höjd och sedan åker högt över skogsområden eller liknande och endast enstaka person kortvarigt träffas av bevakningen. Då är det sannolikt inte fråga om en varaktig eller regelbundet upprepad personbevakning.

För mer information angående denna fråga, läs sidorna 21–22 i slutrapporten.

Slutrapport: Trygghetsmätning i offentliga miljöer med hjälp av IoT-teknik (pdf, 3 MB)

Om det går att identifiera personer i de bilder som en värmekamera förmedlar är det sannolikt fråga om personuppgiftsbehandling enligt dataskyddsförordningen (GDPR) och även personbevakning i kamerabevakningslagens mening. Är man en tillståndspliktig aktör ska man i så fall ansöka om tillstånd när bevakning ska ske av platser dit allmänheten har tillträde. Är man en aktör som inte behöver ansöka om tillstånd ska verksamheten själv göra bedömningen av om bevakningen är tillåten.

Som vi lyfter i slutrapporten finns det dock vissa möjligheter med LiDAR-sensorer, och troligen även värmekameror, att kunna påverka i vilken mån det är möjligt att identifiera människor.

För ett utförligare resonemang angående detta, se sidan 22 i slutrapporten.

Slutrapport: Trygghetsmätning i offentliga miljöer med hjälp av IoT-teknik (pdf, 3 MB)

I kamerabevakningslagens definition av begreppet ”kamerabevakning” anges TV-kamera, annat optisk-elektroniskt instrument eller därmed jämförbar utrustning som sådana utrustningar som – när de används för varaktig eller regelbundet upprepad personbevakning – kan falla in under begreppet kamerabevakning. Med därmed jämförbar utrustning avses, enligt förarbetena, utrustning som kan nyttja elektromagnetisk strålning som röntgen- och radiofrekvent strålning. Det talar för att även radarsensorer troligtvis skulle omfattas av kamerabevakningslagens definition under förutsättning att det går att identifiera människor i de utdata som sensorn genererar. Om personer kan identifieras är det även fråga om personuppgiftsbehandling och dataskyddsförordningens (GDPR:s) regler gäller därmed för behandlingen. Det ska dock påpekas att IMY inte har undersökt om det är möjligt att identifiera personuppgifter eller personer i utdata från en radarsensor. IMY har heller inte tagit ställning till om tekniken som sådan omfattas av kamerabevakningslagen.