Informasjon om GDPR
Ansiktsgjenkjenningsapplikasjoner
Ansiktsgjenkjenning har flere bruksområder som tilgang til ubemannede butikker og treningssentre, bankidentifikasjon, flyplasssikkerhet, etc. Flygjenkjenning behandler biometriske personopplysninger, som utgjør sensitive personopplysninger under GDPR.
Biometriske data er sensitive personopplysninger
Biometriske data er sensitive personopplysninger i henhold til GDPR. Behandling av sensitive personopplysninger er forbudt etter hovedregelen i artikkel 9 i GDPR, men det finnes unntak. For eksempel dersom et foretak innhenter uttrykkelig samtykke fra den registrerte. Vær imidlertid oppmerksom på at reglene er strengere ved behandling av sensitive personopplysninger og krever blant annet bedre tekniske og organisatoriske sikkerhetstiltak.
Flere ansiktsgjenkjenning applikasjoner i industrien
Handel
Gi autoriserte personer adgang til ubemannede butikker, treningssentre eller lignende.
Bank og finans
Identifisering og verifisering av banktjenester, finansielle tjenester eller lignende tjenester.
Sikkerhet
Identifisering av ettersøkte personer i for eksempel et beskyttet objekt som en flyplass.
Eksempler på hvor ansiktsgjenkjenning for verifisering kan brukes i industrien
For å hindre uautoriserte personer i å få tilgang til visse opplysninger eller et rom med verdisaker, kan en enhet for eksempel bruke ansiktsgjenkjenning i stedet for passord, merker eller lignende. På denne måten kan bare autoriserte personer få tilgang til det, i motsetning til et passord som en hacker.
Ansiktsgjenkjenning for verifisering av personer
Ansiktsgjenkjenning brukes ofte til å verifisere personer. Med andre ord, ved hjelp av teknologien for å sjekke om en person faktisk er den personen han eller hun hevder.
1 til 1 verifisering
Denne behandlingen innebærer å sammenligne en biometrisk mal av personen, for eksempel ansiktet, med personen som står foran kameraet eller sensoren. Alternativt opprettes begge malene samtidig, for eksempel en mal når en person tar et passbilde og den andre malen fra bildet i kameraet. Med andre ord sammenlignes to maler.
Identifisere mennesker gjennom ansiktsgjenkjenning
Det er mulig å bruke ansiktsgjenkjenning for å finne en bestemt person i en gruppe mennesker, et bestemt område, i en database eller lignende. Med andre ord kan selskaper bruke ansiktsgjenkjenningsteknologi for å identifisere en person.
1 til flere identifikatorer
I motsetning til 1 til 1 verifisering, som innebærer å sammenligne en person med en bestemt mal, i dette tilfellet sammenlignes en person med mange for å identifisere personen.
Kan ansiktsgjenkjenning være for påtrengende?
Ja, bruk av ansiktsgjenkjenning kan betraktes som for påtrengende i forhold til formålet selskapet ønsker å oppnå med behandlingen. Derfor bør bruk av ansiktsgjenkjenning for å søke effektivitetsgevinster som er enkle å implementere på en mindre personvernsensitiv måte unngås.
Vurdering av virkninger
Ettersom ansiktsgjenkjenning kan være personvernsensitiv behandling og utgjør behandling av sensitive personopplysninger, bør selskapet analysere om det først og fremst er nødvendig. I tillegg kan en konsekvensanalyse være hensiktsmessig, da det er risiko for brudd på de registrertes rettigheter og friheter. Det kan også være nødvendig for selskapet å be om forhåndskonsultasjon med den nasjonale personvernmyndigheten.
Ikke tillatt for flyplasser å bruke ansiktsgjenkjenning for å verifisere passasjernavn
Den franske DPA ba om en uttalelse fra EDPB om bruk av ansiktsgjenkjenning på flyplasser for å verifisere at det er samme person på identitetsdokumentene som på passasjerens ombordstigningskort. Ettersom det ikke er noe juridisk krav i EU om å verifisere konsistensen av dataene, anses det å være en overdreven behandling av personopplysninger i forhold til formålet.
Fint for bruk av ansiktsgjenkjenning for innmelding
I Sverige måtte Gymnasienämnden i Skellefteå kommune (Gymnasienämnden i Skellefteå kommune) betale en bot. De hadde brukt ansiktsgjenkjenning i et pilotprosjekt for å sjekke tilstedeværelse i strid med GDPR. SE-SA merket seg at formålet med å kontrollere elevenes tilstedeværelse kan gjøres på en mindre påtrengende måte enn ved ansiktsgjenkjenning. Videregående skoles styre hadde heller ikke foretatt en konsekvensutredning eller bedt om forhåndskonsultasjon, noe tilsynsmyndigheten mente var nødvendig.
Bruk av AI for ansiktsgjenkjenning
AI-loven i EU tillater ikke opprettelse av ansiktsgjenkjenningsdatabaser gjennom umålrettet skraping av bilder av ansikter fra internett eller CCTV-kameraer. I tillegg forbyr AI-loven sanntids RBI i offentlig tilgjengelige rom for rettshåndhevelse. På den annen side kan det være tillatt dersom det oppfyller ett av unntakene fastsatt i forordningen.
Mer om GDPR
Risiko ved bruk av ansiktsgjenkjenningsteknologi
Det er flere risikoer forbundet med å bruke ansiktsgjenkjenningsteknologi, og det er viktig å kjenne dem før du bruker den. For eksempel er det en risiko for diskriminering og skjevhet hvis teknologien er trent med en bestemt gruppe mennesker, og det er vanskeligere å identifisere personer som ikke faller inn i den gruppen. En annen risiko som er viktig å vite er at resultatet alltid er et estimat og ikke et eksakt svar.