Oplysninger om GDPR
Anvendelser til ansigtsgenkendelse
Der er flere anvendelser til ansigtsgenkendelse såsom adgang til ubemandede butikker og fitnesscentre, identifikation af banker, sikkerhed i lufthavne osv. Ansigtsgenkendelse behandler biometriske personoplysninger, som udgør følsomme personoplysninger i henhold til GDPR.
Biometriske data udgør følsomme personoplysninger
Biometriske data udgør følsomme personoplysninger i henhold til GDPR. Behandling af følsomme personoplysninger er forbudt i henhold til den generelle regel i artikel 9 i GDPR, men der er undtagelser. For eksempel, hvis en enhed modtager udtrykkeligt samtykke fra den registrerede. Vær dog opmærksom på, at reglerne er strengere ved behandling af følsomme personoplysninger og bl.a. kræver bedre tekniske og organisatoriske sikkerhedsforanstaltninger.
Talrige anvendelser til ansigtsgenkendelse i industrien
Handel
Giver autoriserede personer adgang til ubemandede butikker, fitnesscentre eller lignende.
Bank- og finansvirksomhed
Identifikation og verifikation af banktjenester, finansielle tjenester eller lignende tjenester.
Sikkerhed
Identifikation af eftersøgte personer i f.eks. en sikkerhedsgenstand som f.eks. en lufthavn.
Eksempler på, hvornår ansigtsgenkendelse til verifikation kan anvendes i erhvervslivet
For at forhindre uautoriseret adgang til visse oplysninger eller et sted med værdigenstande kan en virksomhed f.eks. bruge ansigtsgenkendelse i stedet for adgangskoder, adgangskort eller lignende. På denne måde kan kun personer, der er autoriseret, få adgang til det, i modsætning til en adgangskode, som for eksempel en hacker kan få adgang til.
Anvendelse af ansigtsgenkendelse til verifikation af personer
Det er almindeligt at bruge ansigtsgenkendelse til at verificere folk. Med andre ord ved hjælp af teknologi til at kontrollere, om en person virkelig er den person, de hævder at være.
1 til 1 verifikation
Denne behandling indebærer at sammenligne en biometrisk skabelon af personen, såsom ansigtet, med den person, der står foran kameraet eller sensoren. Alternativt oprettes begge skabeloner på samme tid, f.eks. en skabelon, når en person tager et pasbillede, og den anden skabelon fra billedet i kameraet. Med andre ord er der en sammenligning mellem to skabeloner.
Identifikation af mennesker gennem ansigtsgenkendelse
Det er muligt at bruge ansigtsgenkendelse til at finde en bestemt person inden for en gruppe af mennesker, et bestemt område, i en database eller lignende. Med andre ord kan virksomheder bruge teknologien til ansigtsgenkendelse til at identificere en person.
1 til mange identifikationer
I modsætning til 1 til 1 verifikation, som indebærer at sammenligne en person med en bestemt skabelon, sammenlignes i dette tilfælde en person med mange for at identificere personen.
Kan ansigtsgenkendelse være en for indgribende foranstaltning?
Ja, brugen af ansigtsgenkendelse kan betragtes som en for indgribende foranstaltning i forhold til det formål, som virksomheden ønsker at opnå med behandlingen. Derfor bør man undgå at bruge ansigtsgenkendelse til at strømline noget, der er let at implementere på en mindre privatlivsfølsom måde.
Konsekvensanalyse
Da ansigtsgenkendelse kan være en privatlivsfølsom behandling og udgør en behandling af følsomme personoplysninger, bør virksomheden først og fremmest analysere, om det er nødvendigt. Desuden kan det være hensigtsmæssigt at foretage en konsekvensanalyse, da der er risiko for krænkelse af registreredes rettigheder og frihedsrettigheder. Virksomheden kan også være nødt til at anmode om en forudgående høring af den nationale databeskyttelsesmyndighed.
Lufthavne må ikke bruge ansigtsgenkendelse til at kontrollere passagernavne
Den franske databeskyttelsesmyndighed anmodede Databeskyttelsesrådet om en udtalelse om anvendelsen af ansigtsgenkendelse i lufthavne for at kontrollere, at det er den samme person på identitetsdokumenterne som på passagerens boardingkort. Da der ikke er noget retligt krav i EU om at kontrollere oplysningernes konsistens, anses det for at være overdreven behandling af personoplysninger i forhold til formålet.
Straf for brug af ansigtsgenkendelse til registrering af fremmøde
I Sverige skulle Gymnasienämnden i Skellefteå kommune betale en bøde. De havde brugt ansigtsgenkendelse i et pilotprojekt til tilstedeværelseskontrol i strid med GDPR. Den svenske tilsynsmyndighed bemærkede, at formålet med at kontrollere elevernes deltagelse kan gøres på en mindre indgribende måde end gennem ansigtsgenkendelse. Styrelsen for Videregående Uddannelser havde heller ikke foretaget en konsekvensanalyse eller indgivet en anmodning om forudgående høring, som tilsynsmyndigheden fandt nødvendig.
Anvendelse af kunstig intelligens til ansigtsgenkendelse
AI-forordningen i EU tillader ikke oprettelse af databaser, der er målrettet mod ansigtsgenkendelse ved ikkemålrettet skrabning af ansigtsbilleder fra internettet eller CCTV. Desuden forbyder AI-forordningen anvendelse af biometrisk fjernidentifikation i realtid på offentligt tilgængelige steder med henblik på retshåndhævelse. Den kan dog tillades, hvis den opfylder en af undtagelserne i forordningen.
Mere om GDPR
Risici ved brug af ansigtsgenkendelsesteknologi
Der er flere risici forbundet med at bruge ansigtsgenkendelsesteknologi, og det er vigtigt at kende dem før brug. For eksempel er der risiko for forskelsbehandling og bias, hvis teknologien er uddannet med en bestemt gruppe af mennesker, og det er vanskeligere at identificere personer, der ikke falder ind i denne gruppe. En anden risiko, der er vigtig at vide, er, at resultatet altid er et skøn og ikke et præcist svar.