Hoppa till innehåll på sidan

Ansiktsigenkänning

I dataskyddsförordningen finns det särskilda bestämmelserna om biometrisk data som man måste ta hänsyn till när man använder ansiktsigenkänningsteknik.

Ansiktsigenkänning är en digital teknik för att automatiskt identifiera eller verifiera en viss person utifrån en digital bild. Det görs vanligen genom att utvalda ansiktsdrag från en bild jämförs med bilder på ansikten som samlats i en databas. I dataskyddsförordningen finns särskilda bestämmelser ni måste ta hänsyn till om ni överväger att behandla biometriska uppgifter, till exempel genom att använda teknik för ansiktsigenkänning.

Med biometriska uppgifter menas personuppgifter som samlats in genom en särskild teknisk behandling som rör någons fysiska, fysiologiska eller beteendemässiga kännetecken och som möjliggör eller bekräftar identifieringen av personen. Det kan till exempel handla om ansiktsbilder eller fingeravtryck.

Vägledning om ansiktsigenkänning och GDPR

Vägledningen ger en introduktion till ansiktsigenkänningsteknik, hur tekniken fungerar, hur användandet av tekniken förhåller sig till regler om dataskydd samt hur de risker som finns kan minimeras. 

Vägledningen vänder sig både till dig som är jurist och till dig som är utvecklare av ansiktsigenkänningsteknik. 

Till vägledningen

Biometriska uppgifter är särskilt skyddsvärda

Biometriska uppgifter tillhör en särskild kategori av personuppgifter som anses vara särskilt skyddsvärda. Behandling av biometriska uppgifter i syfte att entydigt identifiera en individ är som huvudregel förbjuden. Men det finns några undantag från förbudet som möjliggör behandling av biometriska uppgifter i vissa särskilda fall. Samtliga undantag framgår av artikel 9.2 i dataskyddsförordningen.

Undantagen mot förbudet att behandla känsliga personuppgifter

Precis som vid all personuppgiftsbehandling måste ni som behandlar biometriska uppgifter för att entydigt identifiera en fysisk person även ha en rättslig grund enligt artikel 6 i dataskyddsförordningen. Ni måste också uppfylla de grundläggande principerna för behandling av personuppgifter.

För att behandlingen inte ska komma i konflikt med grundläggande principer krävs att ändamålet med behandlingen inte kan uppnås på ett mindre integritetskänsligt sätt.

 

Ansiktsigenkänning i brottsförebyggande syfte

Behandling av känsliga personuppgifter är som utgångspunkt förbjuden. Att upprätta ett digitalt dokument över personer som inte är önskvärda på grund av tidigare brottslig aktivitet anses vara behandling av uppgifter om lagöverträdelser. Den typen av personuppgifter är särskilt skyddsvärda.

Enligt huvudregeln i artikel 10 i dataskyddsförordningen är det endast myndigheter som har rätt att behandla uppgifter om lagöverträdelser. För andra än myndigheter som vill behandla personuppgifter om lagöverträdelser krävs något av följande:

Utan sådant särskilt stöd är det därmed inte tillåtet för andra än myndigheter att använda ansiktsigenkänning i brottsförebyggande syfte.

Konsekvensbedömning och förhandssamråd kan krävas

Ni måste alltid göra en konsekvensbedömning om en typ av behandling av personuppgifter – med hänsyn till behandlingens art, omfattning, sammanhang och ändamål – sannolikt leder till hög risk för de registrerades fri- och rättigheter. Det gäller särskilt om behandlingen sker genom användning av ny teknik.

Innan ni systematiskt börjar övervaka en allmän plats i stor omfattning krävs alltid en konsekvensbedömning. Om ni efter att ha utfört konsekvensbedömningen anser att det inte går att begränsa riskerna och att de är fortsatt höga, måste ni inleda ett förhandssamråd med IMY för att avgöra om behandlingen är tillåten eller inte.

Om ni inte utför en konsekvensbedömning eller begär förhandssamråd med IMY, när detta krävs, kan det leda till beslut om sanktionsavgift.

Konsekvensbedömningar

Förhandssamråd

Konsekvensbedömning inför kamerabevakning

Biometri

Brottsbekämpande myndigheters användning av ansiktsigenkänning

Polismyndigheten och andra så kallade behöriga brottsbekämpande myndigheter får endast använda biometriska uppgifter om de har stöd i de regelverk (registerförfattningar) som deras personuppgiftsbehandling omfattas av.

Brottsdatalagen gäller om den behöriga myndigheten behandlar personuppgifter i syfte att

  • förebygga
  • förhindra eller upptäcka brottslig verksamhet
  • utreda eller lagföra brott eller
  • verkställa straffrättsliga påföljder.

Brottsdatalagen gäller också vid behandling av personuppgifter som en behörig myndighet utför i syfte att upprätthålla allmän ordning och säkerhet. Personuppgifter får då behandlas om det är nödvändigt för dessa syften.

För att behandla biometriska uppgifter, till exempel genom ansiktsigenkänning, krävs dock särskilt lagstöd som Polismyndigheten, Säkerhetspolisen och Tullverket normalt har för behandling av biometriska uppgifter som är absolut nödvändig för ändamålet med behandlingen. Att behandlingen måste vara absolut nödvändigt innebär att behovet av att behandla sådana uppgifter måste prövas särskilt noga i det enskilda fallet.

Senast uppdaterad: 31 mars 2021
Sidans etiketter Kamerabevakning