GDPR og hjælpeteknologi
Retsgrundlag ved brug af ansigtsgenkendelsesteknologi
Samtykke og aftaler med registrerede er to retsgrundlag, der kan være hensigtsmæssige til at støtte behandlingen, når den foretages ved hjælp af ansigtsgenkendelsesteknologi.
Ansigtsgenkendelsesteknologi er biometriske data
Da ansigtsgenkendelsesteknologi er biometriske data, som er følsomme personoplysninger i henhold til GDPR, er behandlingskravene strengere. Det er f.eks. ikke tilladt at støtte behandlingen af følsomme personoplysninger på grundlag af “legitim interesse”.
Retsgrundlag ved brug af ansigtsgenkendelsesteknologi
Der er seks (6) retsgrundlag i GDPR. Virksomheder skal altid anvende et retsgrundlag for hver enkelt behandling, ellers må behandlingen ikke udføres. Samtykke og aftaler med registrerede er to fælles retsgrundlag, når der anvendes ansigtsgenkendelsesteknologi.
Kontrakter med registrerede
En kontrakt med en registreret er et retsgrundlag, der betyder, at en virksomhed skal behandle personoplysningerne for at indgå eller opfylde en kontrakt med den registrerede. For eksempel bruges dette af virksomheder, der behandler købers navn og hjemmeadresse for at levere de købte produkter.
Her er to eksempler på, hvornår dette retsgrundlag kan være hensigtsmæssigt at anvende ved behandling i forbindelse med ansigtsgenkendelsesteknologi:
Login-system
En arbejdsplads kan f.eks. anvende ansigtsgenkendelsesteknologi, så autoriserede brugere kan logge på forskellige systemer, så uautoriserede brugere ikke får adgang til dem. Det kan derfor være en del af arbejdstagerens forpligtelser i henhold til ansættelseskontrakten, hvilket betyder, at kontrakter med den registrerede er retsgrundlaget.
Ubemandede fitnesscentre/butikker
Ubemandede tjenester, såsom fitnesscentre eller butikker, kan bruge ansigtsgenkendelsesteknologi til at give autoriserede personer adgang. For eksempel skal en person gå gennem en lås med et kamera, som sammenligner personen med et tidligere optaget billede af personen, for at teknologien kan afgøre, om det er tilstrækkeligt sandsynligt, at det er en autoriseret person, for at kunne give adgang til lokalerne. Ansigtsgenkendelse kan i disse tilfælde siges at være en nødvendig behandling, for at virksomheden kan opfylde aftalen med den registrerede.
Samtykke
Samtykke er det mest almindelige retsgrundlag for private aktører til at støtte behandlingen med ansigtsgenkendelsesteknologi.
Krav til gyldigt samtykke
Følgende krav skal være opfyldt for et gyldigt samtykke i henhold til GDPR. Det femte krav vedrører samtykke vedrørende følsomme personoplysninger.
Frivilligt
Den registrerede giver sit samtykke frit og uden pres, tvang eller negative konsekvenser. Ved vurderingen af, om samtykket er frivilligt eller ej, skal der tages hensyn til magtforholdet mellem parterne. Hvis det er ulige, betragtes det normalt ikke som et frivilligt samtykke. For eksempel mellem en medarbejder og arbejdsgiver eller kommune og borger. En skole, der anvendte ansigtsgenkendelsesteknologi til fremmødekontrol, blev anset for at være i strid med GDPR, da eleverne er afhængige af skolen og derfor ikke blev anset for at opfylde kravene til gyldigt samtykke.
Specifikt
Samtykket skal være gyldigt til et klart og tydeligt formål. Det bør være et begrænset samtykke, som kun gælder til et bestemt formål. Den registrerede skal vide nøjagtigt, hvad vedkommende accepterer.
Informeret
Virksomhederne skal informere de registrerede om behandlingen på en klar og gennemsigtig måde, når de giver deres samtykke. Det skal bl.a. ske i et tilgængeligt sprog og indeholde oplysninger om, hvordan teknologien fungerer, hvordan behandlingen af personoplysninger udføres, og hvilke alternative identifikationsmidler ud over biometrisk identifikation der kan anvendes.
Tilbagetrækning
Registrerede skal til enhver tid kunne trække deres samtykke tilbage. Tilbagetrækning af samtykke bør være lige så let som at give det. Desuden skal det af de oplysninger, der gives til de registrerede, fremgå, hvordan tilbagekaldelsen kan finde sted.
Udtrykkeligt
Når det kommer til kravene til samtykke ved behandling af følsomme personoplysninger, er de højere. Det kræver udtrykkeligt og utvetydigt samtykke fra den registrerede, hvilket ikke er nødvendigt for behandlingen af almindelige personoplysninger.
Mere om GDPR
Træffe passende foranstaltninger til at minimere de risici, der er forbundet med ansigtsgenkendelsesteknologi
GDPR kræver, at virksomheder implementerer passende tekniske og organisatoriske sikkerhedsforanstaltninger, når de behandler personoplysninger. Jo vigtigere personoplysningerne er, jo højere er kravene. Ansigtsgenkendelsesteknologi indebærer behandling af følsomme personoplysninger, og derfor er sikkerhedskravene høje. Det kan f.eks. være hensigtsmæssigt at foretage en konsekvensanalyse inden behandlingen og eventuelt anmode om en forudgående høring af den nationale databeskyttelsesmyndighed.