Info om GDPR
Användningsområden för ansiktsigenkänning
Det finns flera användningsområden för ansiktsigenkänning såsom åtkomst till obemannade butiker och gym, identifiering av banker, säkerhet på flygplatser m.m. Ansiktsigenkänning behandlar biometriska personuppgifter vilket utgör känsliga personuppgifter enligt GDPR.
Biometriska uppgifter utgör känsliga personuppgifter
Biometriska uppgifter utgör känsliga personuppgifter enligt GDPR. Det är förbjudet att behandla känsliga personuppgifter enligt huvudregeln i artikel 9 GDPR, men det finns undantag. Exempelvis om ett företag får ett uttryckligt samtycke från den registrerade. Observera dock att reglerna är striktare vid behandling av känsliga personuppgifter och kräver bland annat bättre tekniska och organisatoriska säkerhetsåtgärder.
Flertal användningsområden för ansiktsigenkänning inom näringslivet
Möjliggör behöriga personers åtkomst till obemannade butiker, gym eller liknande.
Identifiering och verifiering för banktjänster, finanstjänster eller liknande.
Identifiering av efterlysta personer inom exempelvis ett skyddsobjekt såsom flygplats.
Exempel på när ansiktsigenkänning för verifiering kan användas inom näringslivet
För att förhindra att obehöriga kommer åt viss information eller en lokal med värdesaker, kan ett företag använda exempelvis ansiktsigenkänning istället för lösenord, passerkort eller liknande. På så sätt kan enbart individer som är behöriga komma åt det, till skillnad från ett lösenord som exempelvis en hackare kan komma åt.
Användning av ansiktsigenkänning för verifiering av personer
Det är vanligt att använda ansiktsigenkänning för att verifiera personer. Med andra ord, att använda tekniken för att kontrollera huruvida en person verkligen är personen denne påstår.
1 till 1 verifiering
Denna behandling innebär att en biometrisk mall av personen, såsom ansiktet, jämförs med personen som står framför kameran eller sensorn. Alternativt att båda mallarna skapas samtidigt, såsom en mall när en person tar en passbild och den andra mallen från bilden i kameran. Med andra ord sker det en jämförelse mellan två mallar.
Identifiera personer genom ansiktsigenkänning
Det är möjligt att använda ansiktsigenkänning för att kunna hitta en specifik person inom en grupp människor, ett specifikt område, i en databas eller liknande. Med andra ord kan företag använda tekniken av ansiktsigenkänning för att identifiera en person.
1 till många identifiering
Till skillnad från 1 till 1 verifiering, som innebär jämförelse av en person med en specifik mall, jämför man i detta fall en person med många för att identifiera personen.
Kan ansiktsigenkänning vara en för ingripande åtgärd?
Ja, användning av ansiktsigenkänning kan anses vara en för ingripande åtgärd i förhållande till ändamålet som företaget vill uppnå med behandlingen. Att använda ansiktsigenkänning för att vilja effektivisera något som är enkelt att genomföra på ett mindre integritetskänsligt sätt, bör därför undvikas.
I och med att ansiktsigenkänning kan vara en integritetskänslig behandling och utgör en behandling av känsliga personuppgifter, bör företaget analysera om det först och främst är nödvändigt. Dessutom kan det vara lämpligt att göra en konsekvensbedömning, eftersom det finns en risk för en kränkning av de registrerades fri- och rättigheter. Företaget kan också behöva begära ett förhandssamråd med den nationella dataskyddsmyndigheten.
Inte tillåtet för flygplatser att använda ansiktsigenkänning för att kontrollera namn på passagerare
Den Franska dataskyddsmyndigheten begärde ett yttrande från EDPB gällande användningen av ansiktsigenkänning på flygplatser för att kontrollera att det är samma person på identitetshandlingarna som på passagerarens boardingkort. I och med att det inte finns något rättsligt krav i EU på att kontrollera att uppgifterna stämmer överens med varandra, anses det vara en för överdriven behandling av personuppgifter i förhållande till ändamålet.
Sanktionsavgift för att ha använt ansiktsigenkänning för närvaroregistrering
I Sverige fick Gymnasienämnden i Skellefteå kommun betala en sanktionsavgift. De hade använt ansiktsigenkänning i ett pilotprojekt för närvarokontroll i strid med GDPR. Den svenska tillsynsmyndigheten konstaterade att syftet att kontrollera elevernas närvaro kan göras på ett mindre ingripande sätt än genom ansiktsigenkänning. Gymnasienämnden hade inte heller gjort någon konsekvensbedömning eller inkommit med en begäran av ett förhandssamråd, vilket tillsynsmyndigheten ansåg vara nödvändigt.
Användning av AI för ansiktsigenkänning
Enligt AI-förordningen i EU är det inte tillåtet att skapa databaser riktat för ansiktsigenkänning genom oriktad skraping av bilder på ansikten från internet eller övervakningskameror. Dessutom är det förbjudet enligt AI-förordningen med biometrisk fjärridentifiering i realtid på platser som är allmänt tillgängliga i brottsbekämpande syfte. Däremot kan det vara tillåtet om det uppfyller något av undantagen i förordningen.
Mer om GDPR
Risker med att använda ansiktsigenkänningsteknik
Det finns ett flertal risker med att använda ansiktsigenkänningsteknik och det är viktigt att känna till dem innan användning. Till exempel finns det en risk för diskriminering och bias om tekniken är tränad med en viss grupp av personer, och det vara svårare att identifiera personer som inte faller in i den gruppen. En annan risk som är viktig att känna till är att resultatet alltid är en uppskattning och inte ett exakt svar.