Genom att använda tekniker för ansiktsigenkänning kan företag lära sig mycket om sina kunder. Vissa företag använder också tekniken av säkerhetsskäl. Men ansiktsigenkänning väcker även frågor kring privatliv, dataskydd och kring efterlevnaden av GDPR. I det här inlägget förklarar vi vad du och ditt företag måste tänka på innan ni använder ansiktsigenkänning i er verksamhet.
Lästid: 4 minuter.
Huvudpunkter att ta med sig
- När du överväger att införa teknik för ansiktsigenkänning i verksamheten måste du vidta åtskilliga åtgärder för att detta ska kunna ske i enlighet med GDPR.
- Det hjälper om du börjar med att identifiera den avsedda användningen av tekniken, vilka fördelarna med användningen av tekniken är, samt vilka integritetsrisker som sådan användning kan ge upphov till. Utifrån detta arbete ska du sedan skapa en plan för din riskhantering – helst i from av en s.k. konsekvensbedömning (‘DPIA’).
- När du behandlar biometriska data genom ansiktsigenkänning måste du också se över hur du kan uppfylla kravet på samtycke. GDPR kräver att du samlar in samtycke från de registrerade innan du dess att du påbörjar personuppgiftsbehandlingen. Det är av detta skäl som EU har uttalat att automatiska system för ansiktsigenkänning troligen bryter mot GDPR.
Vilka tekniker finns det för ansiktsigenkänning?
Det finns många olika tekniker för ansiktsanalys och ansiktsigenkänning på marknaden globalt. En av dessa är en identifieringsteknik som går ut på att jämföra personens ansikte med de bilder som finns lagrade i en databas. Det är oftast denna teknik som man avser när man talar om ansiktsigenkänning. En annan teknik kallas ‘ansiktsdetektering’ eller ansiktsavkänning (eng. Facial Detection) eller Anonym Video Analytics (“AVA”).
Ansiktsigenkänning: kommersiellt hjälpmedel och säkerhetsredskap
Namnet på tekniken för att identifiera någon genom att jämföra en bild av personens ansikte med data som finns i en databas är såsom ovan nämnt ansiktsigenkänning. Ansiktsigenkänning används t.ex. i detaljhandeln både för att identifiera kända tjuvar och för att känna igen bonuskunder för att kunna skräddarsy såväl erbjudanden som service. För närvarande används ansiktsigenkänning brett över USA. EU har dock ett mer restriktivt förhållningssätt med beaktande av den känsliga karaktär som behandling av biometrisk data har, särskilt när det rör individers ansikten. Därför publicerade den Europeiska dataskyddsstyrelsen (EDPB) riktlinjer för videoövervakning i juli 2019.
Ansiktsdetektering eller AVA: mindre påträngande teknik
Ökande hänsyn till den personliga integriteten driver utvecklingen av teknik till mindre påträngande metoder för att åstadkomma samma sak som ansiktsigenkänning. Ett exempel på denna mer integritetsvänliga utveckling är teknik för att kunna identifiera en persons egenskaper utan att för den delen identifiera personen. Sådana egenskaper hos en person inkluderar bl.a. ålder, kön och humör. I stället för att matcha ett ansikte till en databas använder programmet en mönsteravkänningsteknik för att kategorisera det. Dessa tekniker går under namnen ansiktsdetektering/ansiktsavkänning eller AVA.
Ansiktsigenkänning i GDPR
Ansiktsigenkänning som teknik är helt beroende av behandling av personuppgifter. Därför måste du, när du avser att implementera sådan typ av teknik i din verksamhet, följa samtliga bestämmelser i GDPR. Inledningsvis måste du identifiera vilken typ av data du bearbetar, för vilket syfte och vilken rättslig grund du planerar att använda dig av. Enligt EU:s digitala och konkurrenschef Margrethe Vestager så bryter så kallade tekniker som automatiskt genomför ansiktsigenkänning mot bestämmelserna i GDPR eftersom tekniken omöjligen kan uppfylla kraven för samtycke. Det är t.ex. eftersom sådan automatiserad ansiktsigenkänningsteknik startar innan dess att det ens finns möjlighet att samla in ett samtycke från individen.
I sina riktlinjer för videoövervakning från 2019 drog EDPB slutsatsen att användningen av biometriska data, och i synnerhet ansiktsigenkänning, leder till högre risker för individen. Därför måste den ansvariga inledningsvis bedöma dels vilken inverkan behandlingen skulle ha på individen integritet och hur pass stor sådan inverkan kan vara. Dessutom måste den ansvarige också undersöka alternativa sätt att uppnå ändamålet med behandlingen.
Olika personuppgifter och dess regler
GDPR är tillämplig på alla personuppgifter, dvs. för all information som är relaterad till en levande och identifierbar person. Eftersom själva syftet med ansiktsigenkänning är att identifiera en person (antingen som kund eller som t.ex. en brottsling) består tekniken av personuppgiftsbehandlingar och GDPR är således tillämplig.
Enligt GDPR skiljer man på olika typer av personuppgifter. Det finns dels “generella” personuppgifter och dels särskilt reglerade personuppgifter, dvs sådana uppgifter som förtjänar ett extra starkt skydd. Artikel 9 i GDPR reglerar sådana, särskilt reglerade, uppgifter.
Ansiktsigenkänning innebär enligt GDPR att man behandlar biometriska data
En av de särskilt reglerade datatyperna inom Artikel 9 är s.k. biometriska data. Biometrisk information är data som är relaterade till en persons fysiska egenskaper, och som möjliggör eller bekräftar identifieringen av den personen. Därför har de flesta verktyg för ansiktsigenkänning syftet att behandla biometriska data.
Biometriska uppgifter är:
“personuppgifter som erhållits genom en särskild teknisk behandling som rör en fysisk persons fysiska, fysiologiska eller beteendemässiga kännetecken och som möjliggör eller bekräftar identifieringen av denna fysiska person, såsom ansiktsbilder eller fingeravtrycksuppgifter”
GDPR delar in biometrisk information i två underkategorier utifrån vilka egenskaper de avser:
- Fysiska, t.ex. ansiktsdrag, fingeravtryck, irisegenskaper, vikt.
- Beteende, t.ex. vanor, handlingar, personlighetsdrag, konstigheter, missbruk.
För att kunna använda biometriska uppgifter krävs i allmänhet samtycke från individen vars uppgifter ska behandlas. Följdaktligen krävs det i annat fall att en rad andra omständigheter ska föreligga, såsom nödvändighet för att uppfylla behovet av allmän säkerhet.
Ändamål och laglig grund
Enligt EDPB, kan du för personuppgiftsbehandlingar genom ansiktsigenkänning för kommersiella ändamål bara använda dig av samtycke som laglig grund. Eller som EDPB uttrycker det; användning av biometrisk igenkänningsfunktionalitet för kommersiella ändamål såsom marknadsföring, statistik och till och med säkerhet kommer i de flesta fall att behöva baseras på individens samtycke.
Det skulle hjälpa om du hade en giltig rättslig grund för ditt ansiktsigenkänning för efterlevnad av GDPR.
I sin vägledning från 2019 ger EDPB olika exempel på praktiska sätt att använda ansiktsigenkänning i kommersiella sammanhang, t.ex. i syfte att förbättra kundupplevelsen. Det gemensamma inslaget för dessa är att du måste basera din behandling på individens samtycke.
Ett av dessa exempel är när ansiktsigenkänning används på ett hotell för att identifiera “VIP-gäster”. Innan behandlingen påbörjas måste gästerna uttryckligen ha samtyckt till att deras biometriska uppgifter behandlas. Kraven på samtycke har skärpts genom GDPR och innebär därigenom att gästen måste få information om omfattningen och syftet med behandlingen. Efter ett sådant samtycke har inhämtats får hotellet bara använda informationen för det väldefinierade och särskilt utpekade ändamålet, till exempel för att omedelbart ge dessa gäster bästa möjliga service. Det innebär att hotellet inte kan använda tekniken för att t.ex. porta en VIP-g’lst som betett sig illa och hamnat på hotellets svartlista.
Hur du uppfyller GDPR:s krav på samtycke för ansiktsigenkänning
GDPR ställer strikta krav på vad som utgör ett giltigt samtycke. Samtycke måste vara specifikt, frivilligt, informerat och entydigt. Till exempel måste de registrerade få information om behandlingen innan de samtycker till den. Ett samtycke är bara entydigt om det består i ett uttalande eller en uttrycklig bekräftande åtgärd från den registrerade. I dagsläget saknar man samsyn om hur en registrerad ska kunna samtycka till behandlingar som görs med hjälp av denna teknik.
Enligt GDPR:s definition av samtycke går det dock att dra vissa slutsatser. Att gå in i en butik som har en skylt utanför som ger följande information: “genom att ange godkänner du behandlingen av dina biometriska data” kan inte ses som ett aktivt eller frivilligt samtycke. Huvudproblemet är att ansiktsigenkänning är automatisk och att det inte finns något sätt för den registrerade att aktivt visa att de samtycker till behandlingen. Alltså finns det heller ingen möjlighet för den registrerade att nyttja butiken utan att få sin biometriska data behandlad. En lösning skulle vara att ansiktsigenkänningen påbörjas först efter dess att den registrerade har uttryckt sitt samtycke till detta, t.ex. genom att vinka eller trycka på en knapp.
En annan viktig del av samtycket är förhållandet mellan den ansvarige och den registrerade. I ett fall från Sverige där den svenska Datainspektionen utfärdade sanktionsavgifter mot en offentlig skola för deras användning av ansiktsigenkänning baserat på samtycke är ett bra exempel på detta. Datainspektionen uppgav att obalansen mellan de registrerade och den ansvarige (dvs. skolan) gjorde samtycket ogiltigt. Därför är samtycke inte en giltig grund i situationer där den registrerade står i beroendeförhållande till den ansvarige. Det kan till exempel vara när ett företag vill behandla sina anställdas uppgifter eller offentliga myndigheters behandling av sina medborgare.
Exempel på hur du kan använda samtycke
Ett annat exempel som EDPB ger i sin vägledning kring kamerabevakning är ansiktsigenkänning i butik. I exemplet använder butiksägaren ansiktsigenkänning för att förse kunder med personliga erbjudanden i butiken. I det fallet måste kunderna uttryckligen samtycka till tekniken. Tekniken får inte heller fånga någon annan än de som har gått med på att få sina personuppgifter behandlade.
Så länge individen har möjlighet att inte samtycka till användning av ansiktsigenkänningsteknik kan den vara laglig. Givetvis är du även då skyldig att informera individen och du kan bara behandla uppgifterna för det kommunicerade ändamålet. Därför skulle det t.ex. vara lagligt att vid biljettkontroll till ett evenemang använda sig av ansiktsigenkänning för kontroll av biljett, så länge som det finns en annan kontroll där du t.ex. på traditionellt sätt skannar din biljett.
Andra sätt att behandla data för ansiktsigenkänning
Du kan basera din användning av ansiktsigenkänning på en annan rättslig grund än samtycke, dvs. de som anges i artikel 9 i GDPR. Som nämnts tidigare kan du inte behandla biometriska uppgifter utan samtycke om grunden för behandlingen är “kommersiell”. Därför måste behandlingen vara nödvändig och fördelaktig i förhållande till något av de andra skälen i artikel 9 i GDPR.
Ett sådant skäl kan exempelvis vara att göra det möjligt för ett sjukhus att, genom ansiktsigenkänning, kunna bevaka en patient och hans beteende av medicinska skäl. Exempelvis, kan sådan användning komma att falla under artikel 9 (2) (c) om behandlingen är nödvändig för att skydda den registrerades vitala intressen, vilket i detta fall kan vara dennes hälsa.
Du måste beakta Principen om Dataminimering
För att lagligt behandla personuppgifter genom ansiktsigenkänning måste du uppfylla samtliga krav i GDPR. Särskilt relevant att beakta är principen om dataminimering i artikel 5.1 (c). Enligt principen kan du endast behandla de personuppgifter som är adekvata, relevanta och nödvändiga i förhållande till ändamålet med behandlingen. Alltså kommer du bara att kunna behandla data som är absolut nödvändiga för ditt ändamål. Därför är det viktigt att motivera varför du behöver använda dig av ansiktsigenkänning.
Data Protection Impact Assessment och Förhandssamråd
För att följa GDPR vid ansiktsigenkänning måste du utföra en konsekvensbedömning (artikel 35) och söka förhandssamråd med Datainspektionen (artikel 36). Behandlingar som kan leda till hög risk för individen behöver alltid föregås av en konsekvensbedömning, en “DPIA”. En stark indikator på behovet av en DPIA är användningen av känsliga uppgifter, såsom biometriska data. Om risken fortfarande är hög efter en konsekvensbedömning måste du som ansvarig konsultera Datainspektionen.
Förutom frågor kring dataskydd och personlig integritet måste du också överväga riskerna för fel i tekniken. Forskning visar att ansiktsigenkänning och dess mjukvara kan variera i tillförlitlighet beroende på t.ex. etniciteten hos personen som den identifierar. Oron är att den inneboende partiskheten i tekniken riskerar att förstärka de fördomar som finns i samhället.
I det tidigare nämnda fallet med användning av ansiktsigenkänning för klassdeltagande i en svensk skola betonade Datainspektionen vikten av förhandssamråd. Datainspektionen konstaterade att skolan, trots skyldigheten att begära förhandssamråd, inte hade gjort det.
Hur kan du använda dig av ansiktsigenkänning på ett GDPR-kompatibelt sätt?
- Lägg fokus på laglig grund, i de flesta fall individens samtycke;
- Informera individen om behandlingen och samla därefter in deras samtycke;
- Behandla inte mer data än du behöver eller för andra ändamål;
- Utför en DPIA och sök förhandssamråd med tillsynsmyndigheten;
- Efter att ha slutfört DPIA, addera ytterligare säkerhetsåtgärder; och
- Om du planerar att använda denna teknik bör du se över huruvida du behöver utse ett Dataskyddsombud (DSO).
EU:s dataskyddsmyndigheter kommer (sinom tid) att publicera strängare riktlinjer för användning av ansiktsigenkänning.