GDPR och ansiktsigenkänningsteknik
Det är verksamheten som behandlar personuppgifterna, den personuppgiftsansvariga, som ansvarar för att kraven i dataskyddsförordningen, GDPR, följs. Förordningen kräver bland annat:
- att det finns en rättslig grund för behandlingen
- att de grundläggande principerna följs
- att de registrerades rättigheter iakttas
- att behandlingen har lämplig säkerhet.
Innan användning av ansiktsigenkänningsteknik sker krävs i regel att en konsekvensbedömning görs. Om höga risker bedöms kvarstå ska den personuppgiftsansvariga begära förhandssamråd hos IMY.
Träna AI-modeller
Även den som utvecklar ansiktsigenkänningsteknik behöver följa reglerna i GDPR, exempelvis när en AI-modell ska tränas för att kunna utföra en uppgift.
I vår vägledning om GDPR och AI finns information om hur utveckling av en AI-modell förhåller sig till de grundläggande principerna i GDPR.
Ansiktsigenkänning – behandling av känsliga personuppgifter
Vid användandet av ansiktsigenkänningsteknik sker en behandling av biometriska uppgifter enligt definitionen av begreppet i GDPR (artikel 4.14). Detta eftersom tekniken mäter en persons fysiska egenskaper, mer specifikt ansiktsgeometri, för att möjliggöra eller bekräfta identifieringen av en fysisk person.
Även den biometriska mall som skapas vid avläsningen av ett ansikte och som består av en numerisk kod som endast kan avläsas av en AI-modell utgör en biometrisk uppgift eftersom den är unik och specifik och kan möjliggöra eller bekräfta identifiering av en fysisk person.
Om de biometriska uppgifterna behandlas för att entydigt identifiera en fysisk person är det också fråga om behandling av särskilda kategorier av uppgifter, så kallade känsliga personuppgifter.
Behandling av känsliga personuppgifter är som utgångspunkt förbjuden enligt GDPR, men det finns undantag från förbudet.
När får känsliga personuppgifter behandlas?
För att en behandling av personuppgifter ska vara tillåten krävs att behandlingen har stöd i en av de rättsliga grunder som anges i GDPR (artikel 6.1).
Om ansiktsigenkänningstekniken används för att entydigt identifiera en fysisk person, och att känsliga personuppgifter därmed behandlas, krävs dessutom att något av undantagen från förbudet att behandla sådana uppgifter är tillämpligt. Dessa undantag finns uppräknade i GDPR (artikel 9.2) och är uttömmande.
I Europeiska dataskyddsstyrelsens (EDPB) riktlinjer 3/2019 för behandling av personuppgifter genom videoenheter anges att det är viktigt att notera att varje undantag som finns i artikel 9 i GDPR sannolikt inte kan användas för att motivera behandling av känsliga personuppgifter genom videoövervakning.
EDPB:s riktlinjer 3/2019 för för behandling av personuppgifter genom videoenheter (på engelska)
Av dessa riktlinjer framgår bland annat att den personuppgiftsansvariga inte kan förlita sig på undantaget enligt vilket behandling är tillåten av personuppgifter som den registrerade tydligt har offentliggjort (artikel 9.2 e).
Att en person går in i ett område som bevakas med ansiktsigenkänningsteknik innebär inte att denna person avser att offentliggöra känsliga personuppgifter som rör honom eller henne.
Vidare framgår det av riktlinjerna att undantaget som tillåter behandling av biometriska uppgifter om det är nödvändigt för att skydda den registrerades eller någon annan persons vitala intressen (artikel 9.2 c) i teorin och undantagsvis skulle kunna användas. Den personuppgiftsansvariga behöver då motivera det som en absolut nödvändighet för att kunna skydda en persons vitala intressen och också bevisa att personen är fysiskt eller rättsligt förhindrad att ge sitt samtycke.
Samtycke för att få behandla personuppgifter
För privata aktörer som vill använda ansiktsigenkänningsteknik i sin verksamhet för egna ändamål, till exempel marknadsföring, statistikföring eller säkerhet, skulle det i de flesta fall krävas ett uttryckligt samtycke från alla registrerade som får sina biometriska uppgifter behandlade. Det framgår av EDBP:s riktlinjer 3/2019 för behandling av personuppgifter genom videoenheter.
Ett uttryckligt samtycke från den registrerade till behandlingen av personuppgifter för ett eller flera specifika ändamål utgör nämligen ett undantag från förbudet att behandla känsliga personuppgifter (artikel 9.2 a).
Begreppet samtycke definieras i GDPR (artikel 4.11) och uppställer flera krav som måste vara uppfyllda för att det ska vara fråga om ett giltigt samtycke. Ett samtycke ska vara en otvetydig viljeyttring genom vilken den registrerade godtar behandlingen. Det innebär att samtycket ska vara:
- frivilligt
- specifikt
- informerat
Läs mer om samtycke som rättslig grund
Frivilligt samtycke
Vid bedömningen av om ett samtycke har lämnats frivilligt ska förhållandet mellan den registrerade och den personuppgiftsansvariga beaktas, där en betydande ojämlikhet mellan den registrerade och den personuppgiftsansvariga innebär att samtyckets frivillighet kan ifrågasättas. Detta kan exempelvis röra relationen mellan arbetsgivare och arbetstagare.
Är det ett frivilligt samtycke?
ExempelAnsiktsigenkänning för närvarokontroll
Ett exempel på ett förhållande där IMY ansåg att samtycket inte var giltigt är IMY:s beslut i ett ärende där en skola använde ansiktsigenkänning för närvarokontroll. IMY bedömde att i en situation när en skola behandlar personuppgifter för att fullgöra en del av sitt uppdrag – närvarokontroll – befinner sig eleven i en sådan beroendeställning att samtycket inte kan anses uppfylla kraven på ett giltigt samtycke.
IMY:s beslut om användning av ansiktsigenkänning för närvarokontroll
Är det ett frivilligt samtycke?
ExempelSamtycke mellan arbetsgivare och arbetstagare
Ett annat exempel är samtycke mellan arbetsgivare och arbetstagare. EDPB har i sina riktlinjer 05/2020 om samtycke uttalat att det är problematiskt att arbetsgivare behandlar befintliga eller framtida anställdas personuppgifter baserat på samtycke, eftersom det är osannolikt att samtycket ges frivilligt.
I de allra flesta fall kan den rättsliga grunden inte utgöras av arbetstagarens samtycke (artikel 6.1 a) på grund av den maktobalans som råder mellan en arbetsgivare och en arbetstagare.
Specifikt samtycke
Att samtycket är specifikt innebär att samtycket måste gälla för den personuppgiftsbehandling som den registrerades biometriska uppgifter används för.
Informerat samtycke
Att samtycket är informerat innebär att den registrerade måste få mycket tydlig och individuellt anpassad information på ett klart och lättillgängligt språk.
Om ansiktsigenkänningsteknik ska användas behöver den personuppgiftsansvariga sannolikt ge information om bland annat:
- hur tekniken fungerar
- hur personuppgiftsbehandlingen går till
- om de alternativa sätt som finns att identifiera sig på utöver biometrisk identifiering.
EU-domstolen har i en dom angett att informationen ska ge personen möjlighet att lätt avgöra följderna av ett eventuellt samtycke.
EU-domstolens dom: Orange România, C-61/19, EU:C:2020:901
Åtgärder för att minimera riskerna med ansiktsigenkänningsteknik
Även om du som personuppgiftsansvarig har identifierat en rättslig grund och ett undantag från förbudet att behandla känsliga personuppgifter ska behandlingen uppfylla övriga skyldigheter i GDPR, däribland de grundläggande principerna.
Behandling av biometriska uppgifter kan innebära allvarliga integritetsrisker för de personer som uppgifterna rör. Som för all personuppgiftsbehandling gäller att om andra, mindre ingripande, sätt finns att uppnå det syfte man eftersträvar bör det väljas när det är möjligt.
Om det inte är möjligt är det av stor vikt att innan behandlingen påbörjas göra de överväganden som krävs och bland annat se till:
- att uppgifter inte behandlas i större utsträckning än vad som är nödvändigt enligt principen om uppgiftsminimering,
- att uppgifterna enbart används för de särskilda, uttryckligt angivna och berättigade ändamålen med behandlingen.
Med hänsyn till de allvarliga riskerna är det också av stor vikt att personuppgiftsansvariga vidtar lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till de förhöjda riskerna.
AI och grundläggande principer
I vår vägledning om GDPR och AI finns mer information om hur du kan förhålla dig till principerna uppgiftsminimering och ändamålsbegränsning när ansiktsigenkänningsteknik används vid utveckling av en AI-modell.
Vilka åtgärder kan vara lämpliga att vidta?
Vilka åtgärder som behöver vidtas beror på omständigheterna i det enskilda fallet där hänsyn måste tas till bland annat ändamålen med behandlingen, hur tekniken ska användas och hur uppgifterna ska lagras.
EDPB antog i maj 2024 ett yttrande om användning av ansiktsigenkänningsteknik på flygplatser, efter en begäran från den franska dataskyddsmyndigheten (CNIL).
Yttrandet är avgränsat till frågan om användandet av ansiktsigenkänningsteknik är förenligt med vissa bestämmelser i GDPR när syftet med behandlingen är att förenkla och förbättra resenärsflöden vid kontrollpunkter (säkerhetskontroller, bagage-drop off, boarding och passagerarlounger).
I yttrandet analyseras den exemplifierade behandlingens förenlighet med:
- principen om lagringsminimering (artikel 5.1 e)
- principen om integritet och konfidentialitet (artikel 5.1 f)
- inbyggt dataskydd och dataskydd som standard (artikel 25)
- behandlingens säkerhet (artikel 32).
EDPB:s analys sker utifrån fyra olika scenarier med fyra olika lösningar för hur de biometriska uppgifterna lagras.
Avgränsning i EDPB:s yttrande om ansiktsigenkänning på flygplatser
EDPB:s yttrande analyserar inte behandlingens överrensstämmelse med övriga bestämmelser i GDPR, inbegripet behandlingens laglighet, det vill säga om behandlingen har stöd i en rättslig grund i artikel 6 i GDPR.
EDPB:s yttrande om ansiktsigenkänningsteknik på flygplatser (på engelska)
Olika lagringslösningar för biometriska uppgifter
De lagringslösningar som enligt EDPB skulle kunna vara förenliga med samtliga ovan nämnda artiklar var de lösningar där de biometriska uppgifterna lagras i händerna på den enskilde, det vill säga i den enskildes egna enhet. Alternativt i en central databas, men i sådant fall under förutsättning att endast den enskilde har tillgång till krypteringsnyckeln.
Vidare behöver ytterligare skyddsåtgärder vidtas. De skyddsåtgärder som EDPB rekommenderar framgår av yttrandet och inbegriper flertalet åtgärder, däribland att:
- upprätta en konsekvensbedömning och begära förhandssamråd hos behörig dataskyddsmyndighet om höga risker kvarstår
- vidta åtgärder för att säkerställa att endast de som samtyckt får sina biometriska uppgifter behandlade, exempelvis genom att avgränsa området där ansiktsavläsningen sker
- säkerställa att interna behörighetskontroller finns på plats
- säkerställa att det finns möjlighet till mänsklig kontroll för att hantera falska utslag och tekniska problem.