GDPR och ansiktsigenkänningsteknik
Den verksamhet som behandlar personuppgifter, den personuppgiftsansvariga, måste följa kraven i GDPR. Den kräver bland annat att det finns en rättslig grund för behandlingen, att de grundläggande principerna följs, att de registrerades rättigheter iakttas och att behandlingen har lämplig säkerhet.
Innan användning av ansiktsigenkänningsteknik sker krävs i regel att en konsekvensbedömning görs och om höga risker bedöms kvarstå ska den personuppgiftsansvariga begära förhandssamråd hos IMY.
Konsekvensbedömningar och förhandssamråd
Användning av ansiktsigenkänning vid brottsbekämpning
Hur de brottsbekämpande myndigheternas användning av ansiktsigenkänningsteknik förhåller sig till dataskyddsreglerna kommer vi inte närmare beröra i den här vägledningen. Mer information om polisens och andra brottsbekämpandes myndigheters användning av ansiktsigenkänning i Europeiska dataskyddsstyrelsens (EDPB) riktlinjer.
GDPR ska följas vid träning av AI-modeller
Även den som utvecklar ansiktsigenkänningsteknik behöver följa reglerna i GDPR, exempelvis när en AI-modell ska tränas för att kunna utföra en uppgift.
I vår vägledning om GDPR och AI finns information om hur utveckling av en AI-modell förhåller sig till de grundläggande principerna i GDPR.
AI och grundläggande principer
Ansiktsigenkänning – behandling av känsliga personuppgifter
Vid användandet av ansiktsigenkänningsteknik sker en behandling av biometriska uppgifter enligt definitionen av begreppet i GDPR (artikel 4.14). Detta eftersom tekniken mäter en persons fysiska egenskaper, mer specifikt ansiktsgeometri, för att möjliggöra eller bekräfta identifieringen av en fysisk person.
Även den biometriska mall som skapas vid avläsningen av ett ansikte och som består av en numerisk kod som endast kan avläsas av AI-modellen utgör en biometrisk uppgift eftersom den är unik och specifik och kan möjliggöra eller bekräfta identifiering av en fysisk person.
Om de biometriska uppgifterna behandlas för att entydigt identifiera en fysisk person är det också fråga om behandling av särskilda kategorier av uppgifter, så kallade känsliga personuppgifter.
Behandling av känsliga personuppgifter är som utgångspunkt förbjuden enligt GDPR, men det finns undantag från förbudet.
När får känsliga personuppgifter behandlas?
För att en behandling av personuppgifter ska vara tillåten krävs att behandlingen har stöd i en av de rättsliga grunder som anges i GDPR (artikel 6.1).
Om ansiktsigenkänningstekniken används för att entydigt identifiera en fysisk person, och att känsliga personuppgifter därmed behandlas, krävs dessutom att något av undantagen från förbudet att behandla sådana uppgifter är tillämpligt. Dessa undantag finns uppräknade i GDPR (artikel 9.2) och är uttömmande.
Vägledande riktlinjer från Europeiska dataskyddsstyrelsen
I Europeiska dataskyddsstyrelsens (EDPB) riktlinjer 3/2019 för behandling av personuppgifter genom videoenheter anges att det är viktigt att notera att varje undantag som finns i artikel 9 i GDPR sannolikt inte kan användas för att motivera behandling av känsliga personuppgifter genom videoövervakning.
EDPB:s riktlinjer för behandling av personuppgifter genom videoenheter
Av dessa riktlinjer framgår bland annat att den personuppgiftsansvariga inte kan förlita sig på undantaget enligt vilket behandling är tillåten av personuppgifter som den registrerade tydligt har offentliggjort (artikel 9.2 e).
Att en person går in i ett område som bevakas med ansiktsigenkänningsteknik innebär inte att denna person avser att offentliggöra känsliga personuppgifter som rör honom eller henne.
Vidare framgår det av riktlinjerna att undantaget som tillåter behandling av biometriska uppgifter om det är nödvändigt för att skydda den registrerades eller någon annan persons vitala intressen (artikel 9.2 c) i teorin och undantagsvis skulle kunna användas. Den personuppgiftsansvariga behöver då motivera det som en absolut nödvändighet för att kunna skydda en persons vitala intressen och också bevisa att personen är fysiskt eller rättsligt förhindrad att ge sitt samtycke.
Samtycke för att få behandla uppgifterna
För privata aktörer som vill använda ansiktsigenkänningsteknik i sin verksamhet för egna ändamål, till exempel marknadsföring, statistikföring eller säkerhet, skulle det i de flesta fall krävas ett uttryckligt samtycke från alla registrerade som får sina biometriska uppgifter behandlade. Det framgår av EDBP:s riktlinjer 3/2019 för behandling av personuppgifter genom videoenheter.
EDPB:s riktlinjer för behandling av personuppgifter genom videoenheter
Uttryckligt samtycke utgör undantag från förbudet
Ett uttryckligt samtycke från den registrerade till behandlingen av personuppgifter för ett eller flera specifika ändamål utgör nämligen ett undantag från förbudet att behandla känsliga personuppgifter (artikel 9.2 a).
Begreppet samtycke definieras i GDPR (artikel 4.11) och uppställer flera krav som måste vara uppfyllda för att det ska vara fråga om ett giltigt samtycke. Ett samtycke ska vara en frivillig, specifik, informerad och otvetydig viljeyttring genom vilken den registrerade godtar behandlingen.
Vid bedömningen av om ett samtycke har lämnats frivilligt ska förhållandet mellan den registrerade och den personuppgiftsansvariga beaktas, där en betydande ojämlikhet mellan den registrerade och den personuppgiftsansvariga innebär att samtyckets frivillighet kan ifrågasättas. Detta kan exempelvis röra relationen mellan arbetsgivare och arbetstagare.
Är det ett frivilligt samtycke?
ExempelAnsiktsigenkänning för närvarokontroll
Ett exempel på ett förhållande där IMY ansåg att samtycket inte var giltigt är IMY:s beslut i ett ärende där en skola använde ansiktsigenkänning för närvarokontroll. IMY bedömde att i en situation när en skola behandlar personuppgifter för att fullgöra en del av sitt uppdrag – närvarokontroll – befinner sig eleven i en sådan beroendeställning att samtycket inte kan anses uppfylla kraven på ett giltigt samtycke.
IMY:s beslut om användning av ansiktsigenkänning för närvarokontroll
Samtycke mellan arbetsgivare och arbetstagare
Ett annat exempel är samtycke mellan arbetsgivare och arbetstagare. EDPB har i sina riktlinjer 05/2020 om samtycke uttalat att det är problematiskt att arbetsgivare behandlar befintliga eller framtida anställdas personuppgifter baserat på samtycke, eftersom det är osannolikt att samtycket ges frivilligt.
I de allra flesta fall kan den rättsliga grunden inte utgöras av arbetstagarens samtycke (artikel 6.1 a) på grund av den maktobalans som råder mellan en arbetsgivare och en arbetstagare.
Arbetsgivare kan i undantagsfall använda samtycke
En arbetsgivare är dock inte alltid förhindrad att använda samtycke som rättslig grund. Det kan finnas vissa situationer där arbetsgivaren kan visa att samtycket har getts helt frivilligt.
Med tanke på maktobalansen mellan en arbetsgivare och personalen, kan arbetstagarna endast ge sitt fria samtycke i undantagsfall när inga negativa konsekvenser kommer att uppstå oavsett om de ger sitt samtycke eller inte. Det framgår av EDPB:s riktlinjer om samtycke (Riktlinjer 05/2020). Riktlinjerna säger bland annat att samtycket ska vara specifikt och informerat.
Specifikt samtycke: Att samtycket är specifikt innebär att samtycket måste gälla för den personuppgiftsbehandling som den registrerades biometriska uppgifter används för.
Informerat samtycke: Att samtycket är informerat innebär att den registrerade måste få mycket tydlig och individuellt anpassad information på ett klart och lättillgängligt språk.
Vad innehåller ett informerat samtycke?
Om ansiktsigenkänningsteknik ska användas behöver den personuppgiftsansvariga sannolikt ge information om bland annat
- hur tekniken fungerar
- hur personuppgiftsbehandlingen går till
- om de alternativa sätt som finns att identifiera sig på utöver biometrisk identifiering.
EU-domstolen har i en dom angett att informationen ska ge personen möjlighet att lätt avgöra följderna av ett eventuellt samtycke.
EU-domstolens dom: Orange România, C-61/19, EU:C:2020:901
Åtgärder för att minimera riskerna med ansiktsigenkänningsteknik
Även om du som personuppgiftsansvarig har identifierat en rättslig grund och ett undantag från förbudet att behandla känsliga personuppgifter ska behandlingen uppfylla övriga skyldigheter i GDPR, däribland de grundläggande principerna.
Behandling av biometriska uppgifter kan innebära allvarliga integritetsrisker för de personer som uppgifterna rör. Som för all personuppgiftsbehandling gäller att om andra, mindre ingripande, sätt finns att uppnå det syfte man eftersträvar bör det väljas när det är möjligt.
Om det inte är möjligt är det av stor vikt att innan behandlingen påbörjas göra de överväganden som krävs och bland annat se till att uppgifter inte behandlas i större utsträckning än vad som är nödvändigt enligt principen om uppgiftsminimering. Uppgifterna ska också enbart används för de särskilda, uttryckligt angivna och berättigade ändamålen med behandlingen.
Med hänsyn till de allvarliga riskerna är det också av stor vikt att personuppgiftsansvariga vidtar lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till de förhöjda riskerna.
Uppgiftsminimering, lagring, tekniska och organisatoriska säkerhetsåtgärder
Vilka åtgärder som behöver vidtas beror på omständigheterna i det enskilda fallet där hänsyn måste tas till bland annat ändamålen med behandlingen, hur tekniken ska användas och hur uppgifterna ska lagras.
EDPB:s yttrande om ansiktsigenkänningsteknik på flygplatser
EDPB antog i maj 2024 ett yttrande om användning av ansiktsigenkänningsteknik på flygplatser, efter en begäran från den franska dataskyddsmyndigheten (CNIL).
Yttrandet är avgränsat till frågan om användandet av ansiktsigenkänningsteknik är förenligt med vissa bestämmelser i GDPR när syftet med behandlingen är att förenkla och förbättra resenärsflöden vid kontrollpunkter (säkerhetskontroller, bagage-drop off, boarding och passagerarlounger).
I yttrandet analyseras den exemplifierade behandlingens förenlighet med
- principen om lagringsminimering (artikel 5.1 e)
- principen om integritet och konfidentialitet (artikel 5.1 f)
- inbyggt dataskydd och dataskydd som standard (artikel 25)
- behandlingens säkerhet (artikel 32).
EDPB:s analys sker utifrån fyra olika scenarier med fyra olika lösningar för hur de biometriska uppgifterna lagras.
Olika lagringslösningar för biometriska uppgifter
De lagringslösningar som enligt EDPB skulle kunna vara förenliga med samtliga ovan nämnda artiklar var de lösningar där de biometriska uppgifterna lagras i händerna på den enskilde, det vill säga i den enskildes egna enhet. Alternativt i en central databas, men i sådant fall under förutsättning att endast den enskilde har tillgång till krypteringsnyckeln.
Vidare behöver ytterligare skyddsåtgärder vidtas. De skyddsåtgärder som EDPB rekommenderar framgår av yttrandet och inbegriper flertalet åtgärder, däribland att:
- upprätta en konsekvensbedömning och begära förhandssamråd hos behörig dataskyddsmyndighet om höga risker kvarstår
- vidta åtgärder för att säkerställa att endast de som samtyckt får sina biometriska uppgifter behandlade, exempelvis genom att avgränsa området där ansiktsavläsningen sker
- säkerställa att interna behörighetskontroller finns på plats
- säkerställa att det finns möjlighet till mänsklig kontroll för att hantera falska utslag och tekniska problem.
Avgränsning i EDPB:s yttrande om ansiktsigenkänning på flygplatser
EDPB:s yttrande analyserar inte behandlingens överrensstämmelse med övriga bestämmelser i GDPR, inbegripet behandlingens laglighet, det vill säga om behandlingen har stöd i en rättslig grund i artikel 6 i GDPR.
EDPB:s yttrande om ansiktsigenkänningsteknik på flygplatser
Vägledning om GDPR och AI
Vägledningen kan vara ett stöd vid utveckling av och användande av ansiktsigenkänningsteknik. I vägledningen förklarar vi grundläggande begrepp och principer som är särskilt viktiga att beakta när personuppgifter används i samband med utveckling och användning av AI. Vägledningen uppdateras löpande.