GDPR og ansiktsgjenkjenning
Juridisk grunnlag for bruk av ansiktsgjenkjenningsteknologi
Samtykke og avtaler med registrerte er to rettslige grunnlag som kan være hensiktsmessige for å støtte behandlingen når den utføres ved bruk av ansiktsgjenkjenningsteknologi.
Ansiktsgjenkjenningsteknologi er biometriske data
Ettersom ansiktsgjenkjenningsteknologier er biometriske data, som er sensitive personopplysninger under GDPR, er kravene til behandling strengere. Det er for eksempel ikke tillatt å støtte behandling av sensitive personopplysninger på rettslig grunnlag av «legitim interesse».
Juridisk grunnlag for bruk av ansiktsgjenkjenningsteknologi
Det finnes seks (6) juridiske grunnlag i GDPR. Bedrifter må alltid bruke et rettslig grunnlag for hver enkelt behandling, ellers kan behandlingen ikke utføres. Samtykke og avtaler med registrerte er to vanlige juridiske grunnlag for bruk av ansiktsgjenkjenningsteknologi.
Kontrakt med den registrerte
En kontrakt med en registrert er et juridisk grunnlag som krever at et selskap behandler personopplysningene for å inngå eller utføre en kontrakt med den registrerte. For eksempel vil dette bli brukt av selskaper som behandler kjøperens navn og hjemmeadresse for å kunne levere de kjøpte produktene.
Her er to eksempler på når dette rettslige grunnlaget kan være egnet for behandling som involverer ansiktsgjenkjenningsteknologi:
Innloggingssystem
For eksempel kan en arbeidsplass bruke ansiktsgjenkjenningsteknologi til å logge på forskjellige systemer av autoriserte brukere, for å unngå uautorisert tilgang. Det kan derfor være en del av den ansattes oppgaver i henhold til arbeidsavtalen, noe som betyr at kontrakten med den registrerte er det rettslige grunnlaget.
Ubetjente treningssentre/butikker
Ubemannede tjenester, for eksempel treningssentre eller butikker, kan bruke ansiktsgjenkjenningsteknologi for å gi tilgang til autoriserte personer. For eksempel ved å kreve en person til å gå gjennom en lås med et kamera, som sammenligner den enkelte med et tidligere tatt bilde av den enkelte, for at teknologien for å avgjøre om sannsynligheten for å være en autorisert person er høy nok til å tillate tilgang til lokalene. I disse tilfellene kan ansiktsgjenkjenning sies å være en nødvendig behandling for at selskapet skal kunne utføre kontrakten med den registrerte.
Samtykke
Samtykke er det vanligste rettslige grunnlaget for private aktører for å støtte behandlingen med ansiktsgjenkjenningsteknologi.
Krav til gyldig samtykke
Følgende krav må være oppfylt for gyldig samtykke i henhold til GDPR. Det femte kravet gjelder samtykke knyttet til sensitive personopplysninger.
Frivillig
Den registrerte skal gi sitt samtykke fritt og uten press, tvang eller negative konsekvenser. For å vurdere om samtykke er gitt frivillig eller ikke, skal det tas hensyn til maktforholdet mellom partene. Hvis det er ulikt, anses det vanligvis ikke som et fritt gitt samtykke. For eksempel mellom en ansatt og arbeidsgiver, eller en kommune og borgere. En skole som brukte ansiktsgjenkjenningsteknologi for å sjekke oppmøte, ble funnet å være i strid med GDPR, da elevene er avhengige av skolen og derfor ikke ble ansett for å oppfylle kravene til gyldig samtykke.
Nærmere bestemt
Samtykket skal være gyldig for et klart og avgrenset formål. Det skal være begrenset samtykke, gyldig bare for et bestemt formål. Den registrerte må vite nøyaktig hva de er enige om.
Informert
Bedrifter må informere de registrerte om behandlingen på en klar og presis måte, når de må gi sitt samtykke. Den skal blant annet være på et tilgjengelig språk og omfatte informasjon om teknologiens virkemåte, behandling av personopplysninger og bruk av andre identifikasjonsmidler enn biometrisk identifikasjon.
Tilbaketrekking
De registrerte skal når som helst kunne trekke tilbake sitt samtykke. Tilbaketrekking av samtykke skal være like enkelt som å gi samtykke. I tillegg skal opplysningene som gis til de registrerte, angi hvordan tilbaketrekkingen kan finne sted.
Eksplisitt
Når det gjelder kravene til samtykke ved behandling av sensitive personopplysninger, er de høyere. Det krever eksplisitt og utvetydig samtykke fra den registrerte, som ikke er nødvendig for behandling av vanlige personopplysninger.
Mer om GDPR
Treffe hensiktsmessige tiltak for å minimere risikoene som følge av ansiktsgjenkjenningsteknologi
GDPR krever at selskaper implementerer tilstrekkelige tekniske og organisatoriske sikkerhetstiltak ved behandling av personopplysninger. Jo viktigere personopplysningene er, desto høyere er kravene. Ansiktsgjenkjenningsteknologi innebærer behandling av sensitive personopplysninger, og derfor er sikkerhetskravene høye. Det kan for eksempel være hensiktsmessig å gjennomføre en konsekvensanalyse før behandlingen og eventuelt be om forhåndskonsultasjon med den nasjonale personvernmyndigheten.