GDPR och ansiktsigenkänningsteknik
Rättsliga grunder vid användning av ansiktsigenkänningsteknik
Samtycke och avtal med registrerade är två rättsliga grunder som kan vara lämpliga att stödja behandling på när det sker genom användning av ansiktsigenkänningsteknik.
Ansiktsigenkänningsteknik utgör biometriska uppgifter
I och med att ansiktsigenkänningsteknik utgör biometriska uppgifter, som är känsliga personuppgifter enligt GDPR, är kraven vid behandlingen striktare. Exempelvis är det inte tillåtet att stödja behandlingen av känsliga personuppgifter på den rättsliga grunden “berättigat intresse”.
Rättsliga grunder vid användning av ansiktsigenkänningsteknik
Det finns sex (6) rättsliga grunder i GDPR. Företag måste alltid tillämpa en rättslig grund för varje enskild behandling, annars får behandlingen inte bli utförd. Samtycke och Avtal med registrerade är två vanliga rättsliga grunder vid användning av ansiktsigenkänningsteknik.
Avtal med registrerad
Avtal med registrerad är en rättslig grund som innebär att ett företag behöver behandla personuppgifterna för att kunna ingå eller fullgöra ett avtal med den registrerade. Exempelvis blir detta använt av företag som behandlar köparens namn och hemadress för att kunna leverera de köpta produkterna. Här är två exempel på när denna lagliga grund kan vara lämplig att använda vid behandling som rör ansiktsigenkänningsteknik:
Inloggningssystem
En arbetsplats kan till exempel använda ansiktsigenkänningsteknik för behöriga användares inlogg till olika system, för att inte obehöriga ska komma åt dem. Det kan därför vara en del av den anställdes arbetsuppgifter i enlighet med anställningsavtalet, vilket innebär att avtal med den registrerade är den rättsliga grunden.
Obemannande gym/butiker
Obemannade tjänster, såsom gym eller butiker, kan använda ansiktsigenkänningsteknik för att ge behöriga individer åtkomst. Till exempel genom att en individ måste gå igenom en sluss med en kamera, som jämför individen med en tidigare tagen bild av denne, för att tekniken ska avgöra om sannolikheten är tillräckligt hög att det är en behörig person, för att kunna ge åtkomst till lokalerna. Ansiktsigenkänningen kan i dessa fall sägas vara en nödvändig behandling för att företaget ska kunna fullfölja avtalet med den registrerade.
Samtycke
Samtycke är den vanligaste rättsliga grunden för privata aktörer att stödja behandlingen med ansiktsigenkänningsteknik.
Kraven för ett giltigt samtycke
Följande krav måste vara uppfyllda för ett giltigt samtycke enligt GDPR. Det femte kravet gäller samtycken som avser känsliga personuppgifter.
Den registrerade ska lämna samtycket frivilligt, och utan press, tvång eller negativa konsekvenser. För att bedöma huruvida ett samtycke är frivilligt eller inte ska man beakta maktförhållandet mellan parterna. Om det är ojämlikt brukar det inte anses vara ett frivilligt samtycke. Exempelvis mellan en arbetstagare och arbetsgivare, eller kommun och medborgare. En skola som använde ansiktsigenkänningsteknik för närvarokontroll ansågs bryta mot GDPR, eftersom eleverna är i en beroendeställning till skolan och därmed ansågs de inte uppfylla kraven om ett giltigt samtycke.
Samtycket ska gälla för ett tydligt och avgränsat syfte. Det ska vara ett begränsat samtycke, som endast gäller för ett specifikt ändamål. Den registrerade måste veta exakt vad de samtycker till.
Företag måste informera de registrerade om behandlingen på ett tydligt och klart sätt, när de ska ge sitt samtycke. Det ska bland annat ske på ett lättillgängligt språk och inkludera information om hur tekniken fungerar, hur behandlingen av personuppgifter går till samt vilka alternativa identifieringssätt utöver biometrisk identifiering som går att använda.
Registrerade ska kunna återkalla sitt samtycke när som helst. Det ska vara lika enkelt att återkalla samtycket, som att lämna det. Dessutom ska det framgå i informationen till de registrerade hur återkallelse kan ske.
När det gäller kraven för samtycke vid behandling av känsliga personuppgifter så är de högre. Det kräver ett uttryckligt och otvetydigt samtycke från den registrerade, vilket inte krävs vid behandling av vanliga personuppgifter.
Mer om GDPR
Vidta lämpliga åtgärder för att minimera riskerna med ansiktsigenkänningsteknik
GDPR kräver att företag vidtar tillräckliga tekniska och organisatoriska skyddsåtgärder vid behandling av personuppgifter. Ju viktigare personuppgifterna är, desto högre är kraven. Ansiktsigenkänningsteknik innebär en behandling av känsliga personuppgifter och därför är säkerhetskraven höga. Det kan exempelvis vara lämpligt att utföra en konsekvensbedömning innan behandlingen och möjligtvis begära ett förhandssamråd med den nationella dataskyddsmyndigheten.