Artikel 4.14 i GDPR
Behandling av personuppgifter vid användning av ansiktsigenkänning
Reglerna om behandling av personuppgifter vid användning av ansiktsigenkänning är strikta, eftersom det omfattar biometriska uppgifter vilket utgör känsliga personuppgifter.
Vad är Biometriska uppgifter?
När ett företag använder ansiktsigenkänningsteknik, sker en behandling av biometriska uppgifter. Definitionen av biometriska uppgifter framgår i artikel 4.14 i GDPR. Tekniken innebär att en persons fysiska egenskaper (ansiktsgeometri) blir behandlade för att bekräfta identifieringen av en person.
Den biometriska mallen som skapas av ett ansikte och består av en numerisk kod är en biometrisk uppgift, även om enbart en AI-modell kan läsa av den. Detta eftersom den är unik och kan bekräfta, alternativt möjliggöra, identifieringen av en individ. Dessutom är det en fråga om biometriska uppgifter om behandlingen sker för att entydigt identifiera en fysisk person.
Biometriska uppgifter utgör känsliga personuppgifter
Biometriska uppgifter utgör känsliga personuppgifter enligt artikel 9 GDPR. Det är enligt huvudregeln förbjudet att behandla sådana särskilda kategorier av personuppgifter, men det finns undantag. Observera dock att reglerna är striktare vid behandling av känsliga personuppgifter.
Lagringsplats för biometriska uppgifter
Enligt EDPB är den bästa lagringslösningen vid behandling av biometriska uppgifter i den registrerades egna händer. Med andra ord på enheten som är i den enskildes besittning. Ett annat alternativ är att ha lagringen i en central databas. Däremot ska enbart den registrerade ha tillgång till krypteringsnyckeln. Dessutom är det viktigt att säkerställa behörigheten så att enbart de som behöver få tillgång till informationen, får det.
Ansiktsigenkänningsteknik: Ska vara proportionerligt
Tänk på att användningen av ansiktsigenkänningsteknik måste vara proportionerlig i förhållande till syftet med behandlingen. Det är en integritetskänslig åtgärd. Om samma ändamål kan uppnås på ett mindre integritetskänsligt sätt, bör teknik som omfattar ansiktsigenkänning inte bli använt.
Behandling av personuppgifter vid användning av ansiktsigenkänning
Det finns ett flertal användningsområden där ansiktsigenkänning kan vara lämpligt att använda för företag. Exempelvis inom:
- Bank- och finansvärlden, exempelvis vid identifiering av kunder.
- Handel, såsom obemannat gym.
- Flygplatser, för att öka säkerheten.
1 till 1 verifiering
Ansiktsigenkänning kan användas för att verifiera en fysisk person. Med andra ord att det finns en sparad biometrisk mall som jämförs med en annan mall. Detta förekommer exempelvis i vissa obemannade gym, som släpper in medlemmar till gymmet genom teknik och kamera som använder ansiktsigenkänning vid entrén. Bilden från kameran jämförs med bilden på individen som är sparad i databasen, för att avgöra hur hög sannolikheten är att det är samma person. Detta kallas för “1 till 1 verifiering”.
1 till många identifiering
Ett annat sätt att använda ansiktsigenkänning är för att identifiera personer genom “1 till många identifiering”. Med andra ord att det finns en sparad biometrisk mall som jämförs med ett flertal personer. Exempelvis om en flygplats har en databas med biometriska mallar tillhörande efterlysta personer och flygplatsens kameror har en tränad AI-modell för att kunna hitta efterlysta personer bland personer som vistas på flygplatsen.
Risker med att använda ansiktsigenkänningsteknik
Det finns flera risker med användning av ansiktsigenkänningsteknik och det är bra att förstå dem innan det används. Här är två riskområden med ansiktsigenkänningsteknik:
Resultatet är en uppskattning, inte en definitiv bekräftelse. Med andra ord jämförs två biometriska mallar mot varandra och kvaliteten på dessa kan påverka resultatet.
Det finns en risk för diskriminering och bias om exempelvis en AI-modell för ansiktsigenkänningsteknik har tränats med främst personer med ett visst ursprung eller utseende.
Rättsliga grunder vid användning av ansiktsigenkänningsteknik
En vanlig rättslig grund för privata aktörer, såsom ett företag, att stödja behandlingen kring ansiktsigenkänning är samtycke. Observera dock att kraven på samtycket är högre än vanligt, eftersom det avser behandling av känsliga personuppgifter. Det innebär bland annat att samtycket måste vara uttryckligt.
Berättigat intresse som annars är en vanlig rättslig grund för många typer av behandlingar, är inte lämplig då det rör känsliga personuppgifter och det inte uppfyller något av undantagen till att få göra en sådan behandling.
Skyddsåtgärder för att minimera riskerna med ansiktsigenkänningsteknik
Vilka exakta skyddsåtgärder som ett företag bör vidta för att minimera riskerna med ansiktsigenkänningsteknink är svårt att säga, eftersom det skiljer sig åt baserat på omständigheterna och situationerna i fråga. Detta är några skyddsåtgärder som kan vara lämpliga:
Kryptera personuppgifter
Det kan vara bra att lagra personuppgifterna krypterade, så att en person som obehörigt kommer åt exempelvis de biometriska uppgifterna, inte kan avläsa vem dem tillhör direkt, utan krypteringsnyckeln.
Behörighetsstyrning
Se till att enbart de individer som behöver ha tillgång till de lagrade personuppgifterna i databasen, har åtkomst till dem.
Utför och dokumentera en konsekvensbedömning
Det kan vara lämpligt att utföra och dokumentera en konsekvensbedömning innan användningen av ansiktsigenkännings tekniken. Dessutom kan företaget behöva begära ett förhandssamråd med den nationella dataskyddsmyndigheten, efter att konsekvensbedömningen är utförd.
Mer om GDPR
Information om GDPR och AI
AI är ett högaktuellt område som påverkar, eller kommer att påverka, många företag i samhället. Det finns stora möjligheter med tekniken, men även risker. GDPR är en viktig förordning att ha i åtanke vid utveckling, tillhandahållande eller användning av AI-modeller inom EU/EES-området, eftersom det oftast innebär en behandling av personuppgifter. Dessutom är det vid sådana fall även viktigt att ha EU:s AI-förordning i åtanke.