Vid behandling av digitala bilder eller videos där en fysisk person framgår, kan behandlingen omfatta biometrisk data vilket som huvudregel är förbjudet enligt dataskyddsförordningen. De särskilda bestämmelserna och undantagen gällande behandling av biometrisk data i dataskyddsförordningen samt nationell lagstiftning måste således beaktas vid användandet av teknik som innefattar ansiktsigenkänning.
Integritetsskyddsmyndigheten har tagit en aktiv roll gällande regleringen av ansiktsigenkänning. Integritetsskyddsmyndigheten första sanktion under dataskyddsförordningen var i augusti 2019 och handlade om användningen av en ansiktsigenkänningsteknik som brutit mot dataskyddsförordningen.
Integritetsskyddsmyndigheten utfärdade en sanktionsavgift på 200 000 kronor till en kommun för att ha använt ansiktsigenkänning via kamera för att registrera elevers närvaro. Integritetsskyddsmyndigheten anförde att användandet av ansiktsigenkänning via kamera medförde behandling av personuppgifter som var av mer påträngande art avseende personlig integritet samtidigt som det fanns andra sätt att registrera närvaro som är mindre integritetskränkande än just ansiktsigenkänning.
Integritetsskyddsmyndigheten bedömde också att det inte fanns något tillämpligt undantag gällande förbudet om behandling av känsliga personuppgifter.
I ett förhandssamråd som ägde rum under oktober 2019 yttrade Integritetsskyddsmyndigheten att de tillåter den svenska Polismyndigheten visst användande av ansiktsigenkänning för syftet att utreda och lagföra brott. Integritetsskyddsmyndigheten motiverade sitt beslut mot bakgrund av att ansiktsigenkänning är ett effektivt verktyg för att identifiera kriminella jämfört med en manuell analys.
I juni 2020 godkände Integritetsskyddsmyndigheten, också i ett förhandssamråd, användandet av ansiktsigenkänning i affärer för analys av besökarnas rörelsemönster. Bilddatan från övervakningskameran anonymiserades och skickades sedan till en molntjänst för analys. Eftersom analysen gjordes på anonymiserad data så ansågs ett undantag från artikel 9 i dataskyddsförordningen inte vara nödvändigt. Istället ansågs den rättsliga grund som anges i artikel 6.1 i dataskyddsförordningen vara tillräcklig för behandlingen av personuppgifterna.
För att kunna använda denna rättsliga grund för behandling av personuppgift så är det av vikt att den biometriska data i fråga är fullständigt anonymiserad och att den kvarstående data inte kan användas för att identifiera eller autentisera en fysisk person.
Den svenska regeringen antog den 1 december 2020, en lag om ändring i utlänningsdatalagen som gör det möjligt för Migrationsverket, Polismyndigheten och utlandsmyndigheterna att behandla känsliga personuppgifter (även genom biometrisk data och ansiktsigenkänningsteknik) inom ramen för utlännings- och medborgarskapsområdet när det gäller testverksamhet som är absolut nödvändig och i enlighet med utlänningsdatalagen.
Tekniken gällande ansiktsigenkänning fortsätter att växa fram på marknaden. Integritetsskyddsmyndigheten och motsvarande tillsynsmyndigheter i andra jurisdiktioner, såväl som regeringar runt om i Europa kommer sannolikt att intensifiera sina reglerande insatser. För mer information om den svenska positionen, eller för utvärdering av planerad användande av ansiktsigenkänning, vänligen kontakta Setterwalls team inom IT-rätt och dataskydd, som är rankat som Tier 1 i Sverige i den första upplagan av Legal500’s separata ranking.
Artikel skriven av; Fredrik Roos (delägare/advokat), Linda Källström (senior associate/advokat) & Astrid Svensson (associate) på Setterwalls Advokatbyrå.