Ansiktsigenkänning
Ansiktsigenkänning är en digital teknik för att automatiskt identifiera eller verifiera en viss person utifrån en digital bild. Det görs vanligen genom att utvalda ansiktsdrag från en bild jämförs med bilder på ansikten som samlats i en databas. I dataskyddsförordningen finns särskilda bestämmelser ni måste ta hänsyn till om ni överväger att behandla biometriska uppgifter, till exempel genom att använda teknik för ansiktsigenkänning.
Med biometriska uppgifter menas personuppgifter som samlats in genom en särskild teknisk behandling som rör någons fysiska, fysiologiska eller beteendemässiga kännetecken och som möjliggör eller bekräftar identifieringen av personen. Det kan till exempel handla om ansiktsbilder eller fingeravtryck.
Vägledning om ansiktsigenkänning och GDPR
Vägledningen ger en introduktion till ansiktsigenkänningsteknik, hur tekniken fungerar, hur användandet av tekniken förhåller sig till regler om dataskydd samt hur de risker som finns kan minimeras.
Vägledningen vänder sig både till dig som är jurist och till dig som är utvecklare av ansiktsigenkänningsteknik.
Biometriska uppgifter är särskilt skyddsvärda
Biometriska uppgifter tillhör en särskild kategori av personuppgifter som anses vara särskilt skyddsvärda. Behandling av biometriska uppgifter i syfte att entydigt identifiera en individ är som huvudregel förbjuden. Men det finns några undantag från förbudet som möjliggör behandling av biometriska uppgifter i vissa särskilda fall. Samtliga undantag framgår av artikel 9.2 i dataskyddsförordningen.
Undantagen mot förbudet att behandla känsliga personuppgifter
Precis som vid all personuppgiftsbehandling måste ni som behandlar biometriska uppgifter för att entydigt identifiera en fysisk person även ha en rättslig grund enligt artikel 6 i dataskyddsförordningen. Ni måste också uppfylla de grundläggande principerna för behandling av personuppgifter.
För att behandlingen inte ska komma i konflikt med grundläggande principer krävs att ändamålet med behandlingen inte kan uppnås på ett mindre integritetskänsligt sätt.
Tips på läsning
Fördjupa dig
Ansiktsigenkänning i brottsförebyggande syfte
Behandling av känsliga personuppgifter är som utgångspunkt förbjuden. Att upprätta ett digitalt dokument över personer som inte är önskvärda på grund av tidigare brottslig aktivitet anses vara behandling av uppgifter om lagöverträdelser. Den typen av personuppgifter är särskilt skyddsvärda.
Enligt huvudregeln i artikel 10 i dataskyddsförordningen är det endast myndigheter som har rätt att behandla uppgifter om lagöverträdelser. För andra än myndigheter som vill behandla personuppgifter om lagöverträdelser krävs något av följande:
- stöd i lag
- stöd i IMY:s föreskrift Behandling av personuppgifter som rör lagöverträdelser (IMYFS 2024:1) (pdf, 3 MB)
- tillstånd från IMY.
Utan sådant särskilt stöd är det därmed inte tillåtet för andra än myndigheter att använda ansiktsigenkänning i brottsförebyggande syfte.
Konsekvensbedömning och förhandssamråd kan krävas
Ni måste alltid göra en konsekvensbedömning om en typ av behandling av personuppgifter – med hänsyn till behandlingens art, omfattning, sammanhang och ändamål – sannolikt leder till hög risk för de registrerades fri- och rättigheter. Det gäller särskilt om behandlingen sker genom användning av ny teknik.
Innan ni systematiskt börjar övervaka en allmän plats i stor omfattning krävs alltid en konsekvensbedömning. Om ni efter att ha utfört konsekvensbedömningen anser att det inte går att begränsa riskerna och att de är fortsatt höga, måste ni inleda ett förhandssamråd med IMY för att avgöra om behandlingen är tillåten eller inte.
Om ni inte utför en konsekvensbedömning eller begär förhandssamråd med IMY, när detta krävs, kan det leda till beslut om sanktionsavgift.
Konsekvensbedömning inför kamerabevakning
Brottsbekämpande myndigheters användning av ansiktsigenkänning
Polismyndigheten och andra så kallade behöriga brottsbekämpande myndigheter får endast använda biometriska uppgifter om de har stöd i de regelverk (registerförfattningar) som deras personuppgiftsbehandling omfattas av.
Brottsdatalagen gäller om den behöriga myndigheten behandlar personuppgifter i syfte att
- förebygga
- förhindra eller upptäcka brottslig verksamhet
- utreda eller lagföra brott eller
- verkställa straffrättsliga påföljder.
Brottsdatalagen gäller också vid behandling av personuppgifter som en behörig myndighet utför i syfte att upprätthålla allmän ordning och säkerhet. Personuppgifter får då behandlas om det är nödvändigt för dessa syften.
För att behandla biometriska uppgifter, till exempel genom ansiktsigenkänning, krävs dock särskilt lagstöd som Polismyndigheten, Säkerhetspolisen och Tullverket normalt har för behandling av biometriska uppgifter som är absolut nödvändig för ändamålet med behandlingen. Att behandlingen måste vara absolut nödvändigt innebär att behovet av att behandla sådana uppgifter måste prövas särskilt noga i det enskilda fallet.
Tips på läsning
Fördjupa dig- EDPB:s Guidelines 05/2022 on the use of facial recognition technology in the area of law enforcement
- IMY:s tillsynsbeslut 2021-02-10 – Polismyndighetens användning av Clearview AI
- IMY:s förhandssamrådsyttrande 2019-10-23 - Polismyndighetens planerade användning av programvara för ansiktsigenkänning mot signalementsregistret
- IMY:s förhandssamrådsyttrande 2019-12-16 - Polismyndighetens planerade pilotverksamhet med biometrisk ansiktsverifiering vid yttre gräns
Rättsinformation
Fördjupa dig- Dataskyddsförordningen Artikel 4.14 (biometriska uppgifter)
- Dataskyddsförordningen Artikel 9 (behandling av särskilda kategorier av personuppgifter)
- Dataskyddsförordningen Artikel 10 - behandling av personuppgifter som rör lagöverträdelser
- Brottsdatalagen (2018:1177) 2 kap. 12 §
- Lag (2018:1693) om polisens behandling av personuppgifter inom brottsdatalagens område 2 kap. 4 §, 6 kap. 4-5 §§
- Lag (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning 3 kap. 8-9 §§