Artikel 4.14 i GDPR
Behandling af personoplysninger ved brug af ansigtsgenkendelse
Reglerne om behandling af personoplysninger i forbindelse med ansigtsgenkendelse er strenge, da de omfatter biometriske oplysninger, som udgør følsomme personoplysninger.
Hvad er biometriske data?
Når en virksomhed anvender ansigtsgenkendelsesteknologi, behandles biometriske data. Definitionen af biometriske data er fastsat i databeskyttelsesforordningens artikel 4, nr. 14). Teknikken indebærer, at en persons fysiske egenskaber (ansigtsgeometri) behandles for at bekræfte identifikationen af en person.
Den biometriske skabelon, der oprettes af et ansigt og består af en numerisk kode, er en biometrisk data, selv om kun en AI-model kan læse den. Dette skyldes, at det er unikt og kan bekræfte eller alternativt muliggøre identifikation af en person. Der er desuden tale om biometriske oplysninger, hvis behandlingen foretages med henblik på entydigt at identificere en fysisk person.
Biometriske data udgør følsomme personoplysninger
Biometriske data udgør følsomme personoplysninger som omhandlet i artikel 9 i GDPR. Behandling af sådanne særlige kategorier af personoplysninger er som hovedregel forbudt, men der er undtagelser. Vær dog opmærksom på, at reglerne er strengere ved behandling af følsomme personoplysninger.
Placering af biometrisk datalagring
Ifølge Databeskyttelsesrådet er den bedste lagringsløsning til behandling af biometriske oplysninger i den registreredes egne hænder. Med andre ord på den enhed, der er i den enkeltes besiddelse. En anden mulighed er at have lagringen i en central database. Det er dog kun den registrerede, der bør have adgang til krypteringsnøglen. Desuden er det vigtigt at sikre, at tilladelsen kun gives til dem, der har brug for adgang til oplysningerne.
Ansigtsgenkendelsesteknologi: Bør være forholdsmæssig
Bemærk, at brugen af ansigtsgenkendelsesteknologi skal stå i et rimeligt forhold til formålet med behandlingen. Dette er en privatlivsfølsom foranstaltning. Hvis det samme formål kan opnås på en mindre privatlivsfølsom måde, bør der ikke anvendes ansigtsgenkendelsesteknologier.
Behandling af personoplysninger ved brug af ansigtsgenkendelse
Der er en række anvendelser, hvor ansigtsgenkendelse kan være egnet til virksomheder. F.eks. i:
- Bank- og finansvirksomhed, f.eks. i forbindelse med identifikation af kunder.
- Handel, såsom ubemandet gym.
- Lufthavne for at øge sikkerheden.
1 til 1 verifikation
Ansigtsgenkendelse kan bruges til at verificere en fysisk person. Med andre ord er der en gemt biometrisk skabelon sammenlignet med en anden skabelon. Dette sker for eksempel i nogle ubemandede fitnesscentre, som indrømmer medlemmer til gymnastiksalen gennem teknologi og kamera ved hjælp af ansigtsgenkendelse ved indgangen. Billedet fra kameraet sammenlignes med billedet af den enkelte, der er gemt i databasen, for at bestemme, hvor stor sandsynligheden er for, at det er den samme person. Dette kaldes "1 til 1 verifikation".
1 til mange identifikationer
En anden måde at anvende ansigtsgenkendelse på er at identificere personer gennem "1 til mange identifikationer". Med andre ord er der en gemt biometrisk skabelon, der sammenlignes med flere personer. Hvis en lufthavn f.eks. har en database med biometriske skabeloner for eftersøgte personer, og lufthavnskameraerne har en uddannet AI-model til at kunne finde eftersøgte personer blandt personer, der opholder sig i lufthavnen.
Risici ved brug af ansigtsgenkendelsesteknologi
Der er flere risici ved brug af ansigtsgenkendelsesteknologi, og det er godt at forstå dem, før du bruger det. Her er to risikoområder med ansigtsgenkendelsesteknologi:
Resultatet er et skøn, ikke en endelig bekræftelse. Med andre ord sammenlignes to biometriske skabeloner mod hinanden, og kvaliteten af disse kan påvirke resultatet.
Der er risiko for forskelsbehandling og partiskhed, hvis f.eks. en AI-model til ansigtsgenkendelsesteknologi primært er blevet trænet med personer af en bestemt oprindelse eller et bestemt udseende.
Retsgrundlag ved brug af ansigtsgenkendelsesteknologi
Et fælles retsgrundlag for private aktører, f.eks. en virksomhed, til at støtte behandlingen omkring ansigtsgenkendelse er samtykke. Bemærk dog, at kravene til samtykke er højere end normalt, da det vedrører behandling af følsomme personoplysninger. Det betyder blandt andet, at samtykket skal være eksplicit.
Legitim interesse, som ellers er et fælles retsgrundlag for mange typer behandling, er ikke hensigtsmæssig, da den vedrører følsomme personoplysninger og ikke opfylder nogen af undtagelserne fra en sådan behandling.
Sikkerhedsforanstaltninger til minimering af risikoen ved ansigtsgenkendelsesteknologi
De nøjagtige sikkerhedsforanstaltninger, som en virksomhed bør træffe for at minimere risiciene ved ansigtsgenkendelsesteknologi, er vanskelige at sige, da de varierer afhængigt af de pågældende omstændigheder og situationer. Dette er nogle beskyttelsesforanstaltninger, der kan være hensigtsmæssige:
Krypter personoplysninger
Det kan være nyttigt at lagre personoplysningerne krypteret, således at en person, der uberettiget får adgang til f.eks. de biometriske data, ikke direkte kan læse, hvem de tilhører, uden krypteringsnøglen.
Forvaltning af støtteberettigelse
Sikre, at kun de personer, der har brug for adgang til de lagrede personoplysninger i databasen, har adgang til dem.
Gennemføre og dokumentere en konsekvensanalyse
Det kan være hensigtsmæssigt at foretage og dokumentere en konsekvensanalyse forud for anvendelsen af ansigtsgenkendelsesteknologien. Desuden kan virksomheden være nødt til at anmode om en forudgående høring af den nationale databeskyttelsesmyndighed, efter at konsekvensanalysen er blevet gennemført.
Mere om GDPR
Oplysninger om GDPR og AI
Kunstig intelligens er et meget aktuelt område, der påvirker eller vil påvirke mange virksomheder i samfundet. Der er store muligheder med teknologi, men også risici. GDPR er en vigtig forordning at huske på, når man udvikler, leverer eller anvender AI-modeller i EU/EØS-området, da det normalt indebærer behandling af personoplysninger. Desuden er det i sådanne tilfælde også vigtigt at holde sig EU’s AI-forordning for øje.