Höga krav för att få använda ansiktsigenkänning
Vissa grundläggande regler som gäller all personuppgiftsbehandling gäller även vid användning av biometriska uppgifter, till exempel krav på grundläggande principer för behandling av personuppgifter, laglig grund och registrerades rättigheter.
Huvudregel: Förbjudet att behandla biometriska uppgifter
Eftersom biometriska uppgifter är känsliga personuppgifter behöver den personuppgiftsansvarige ofta genomföra en konsekvensbedömning av den planerade behandlingen. Om den visar på hög risk för de registrerades fri- och rättigheter kan det även krävas att den personuppgiftsansvarige förhandssamråder med IMY. När det kommer till ansiktsigenkänning är det inte ovanligt att förhandssamråd krävs, framför allt i sammanhang som inte har bedömts tidigare.
För känsliga personuppgifter finns ett högre skydd än för andra personuppgifter. Det gäller uppgifter om etniskt ursprung, politiska, religiösa eller fackliga åsikter, uppgifter om hälsa eller sexuell läggning men även biometriska uppgifter. Huvudregeln är att det är förbjudet att behandla dessa uppgifter.
Svårt att använda samtycke
Om man vill använda sig av känsliga personuppgifter, som ansiktsigenkänning är ett exempel på, så måste man dels ha rättslig grund för behandlingen, dels uppfylla ett av undantagen mot förbudet att behandla känsliga personuppgifter. För att ett samtycke ska vara godkänt måste det vara en frivillig, specifik, informerad och otvetydig viljeyttring. Det får inte heller föreligga en betydande ojämlikhet mellan den personuppgiftsansvarige och den registrerade.
Det är därför svårt att använda sig av samtycke som rättslig grund för behandling av biometriska uppgifter mellan exempelvis en arbetsgivare och en arbetstagare. En arbetsgivare måste därför ofta hitta en annan rättslig grund, exempelvis att det finns stöd i lag eller kollektivavtal som innehåller lämpliga skyddsåtgärder. För att behandlingen inte ska komma i konflikt med de grundläggande principerna i dataskyddsförordningen krävs också att ändamålet med behandlingen inte kan uppnås på ett sätt som är mindre integritetskänsligt för de anställda. Det finns därför svårigheter med att använda biometriska uppgifter för inpassering eller närvarokontroll.
IMY:s första sanktionsavgift mot en aktör som brutit mot reglerna i dataskyddsförordningen gällde en skola som använde ansiktsigenkänning som närvarokontroll.
Vägledning om anonymisering på gång
IMY har fått en hel del frågor kring anonymisering, bland annat i samband med kamerabevakning, och Europeiska dataskyddsstyrelsen, EDPB, arbetar just nu på en ny vägledning. I väntan på den kan sägas att finns det ett behov av att anonymisera, så behandlar man redan personuppgifter. Med andra ord, även själva anonymiseringen är en behandling av personuppgifter.
Som vid all annan personuppgiftsbehandling ska personuppgiftsansvariga, och eventuella personuppgiftsbiträden, vid både ansiktsigenkänning och anonymisering vidta lämpliga säkerhetsåtgärder för att skydda behandlingen och de personuppgifter som behandlas. Säkerhetsåtgärderna ska åstadkomma en lämplig säkerhetsnivå och vad som är lämpligt beror på ett antal faktorer så som risken som behandlingen utgör för de registrerades fri- och rättigheter, kostnaderna för att vidta åtgärderna, den senaste utvecklingen samt behandlingens art, omfattning, sammanhang och ändamål. Den personuppgiftsansvarige ska ta särskild hänsyn till risken för förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som behandlats.
Integritetsrisker med uppkopplade enheter
I vår Integritetsskyddsrapport 2020 visade vi att utvecklingen inom Internet of things, IoT eller uppkopplade enheter på svenska, är ett särskilt riskområde ur ett integritetsperspektiv. IoT avser apparater, maskiner och fordon som har inbyggd teknik och internetuppkoppling, men som inte ses som datorer. Det kan vara vardagsföremål som vitvaror, tv-apparater, elektroniska lås och larm, utrustning i industri, infrastruktur eller vården men även kameror.
Särskilda risker uppstår när man använder sig av känsliga personuppgifter, som biometriska uppgifter, i uppkopplade enheter. Eftersom vi vet att uppkopplade enheter används inom allt fler samhällsområden och med nya användningsområden och att dessa enheter ofta visat sig ha bristande säkerhet, avslutades webbinariet med en kort genomgång av viktiga säkerhetsaspekter att tänka på vid just användning av uppkopplade enheter.
Några exempel som togs upp var vikten av att ha ett livscykelperspektiv redan från början vid införskaffning och införande av system med uppkopplade enheter, fördelarna med nätverkssegmentering och att ha en ”sårbarhetsövervakning” av de tjänster, protokoll och mjukvaror som man använder.
Avslutningsvis: Den tekniska utvecklingen går mycket snabbt. Fler och fler produkter och tjänster använder sig av känsliga personuppgifter, exempelvis biometriska data. Det är viktigt att komma ihåg att dessa personuppgifter har ett extra starkt skydd i dataskyddsförordningen och att de, som nämnts ovan, som huvudregel är förbjudna att behandla, även om det finns vissa undantag.
Jenny Bård, jurist
Jeanette Bladh Gustafson, jurist
Magnus Bergström, it- och informationssäkerhetsspecialist