Datainspektionen: Inte uteslutet att tekniken är otillåten

Datainspektionen ansiktsidentifikation GDPR
Datainspektionen: Inte uteslutet att tekniken är otillåten

Jenny Bård, Datainspektionen. Foto: Pressbild/ Istockphoto

Caroline Englund

Reporter

Den nya tekniken kring ansiktsigenkänning som ska kartlägga kunder i butiker kan bryta mot GDPR.
"Det är inte uteslutet att den är otillåten", säger Jenny Bård som jobbar med frågan på Datainspektionen.

Att använda teknik kopplad till ansiktsigenkänning för att få bättre koll på kunder i fysiska butiker ska börja testas i Sverige. Bolagen bakom tekniken säger att det inte handlar om att identifiera personer utan att genom mönster i ansiktet kategorisera dem utifrån exempelvis ålder och kön.

Jenny Bård känner inte till att Datainspektionen har fört några dialoger med bolag som vill testa den här tekniken i Sverige. Däremot har myndigheten fått in ett allmänt förfrågningsunderlag om det skulle vara möjligt.

Enligt Jenny Bård är reglerna kring tekniken komplicerade.

Det stora problemet är att gränsen mellan identifiering och kategorisering är tunn. Även om programvaran i butikernas redan befintliga kameror inte identifierar kunderna direkt, utan istället analyserar dem med hjälp av ett mönster som fastställer kön och ålder, räknas det som personuppgifter.

“Om man bara samlar in punkterna för att kategorisera ålder och kön och sedan raderar dem kan det vara tillåtet efter att man har gjort en intresseavvägning”, säger hon.

Om den här datan sparas och matchas med en ny bild för att se om en kund har varit i butiken ses det som så kallade känsliga personuppgifter och då kan tekniken bryta mot lagen.

“För att kunna använda tekniken krävs i så fall ett undantag från lagen och det kan till exempel innebära att alla kunder som går in i butiken måste godkänna att de registreras”, säger Jenny Bård

Hon förklarar att Datainspektionen måste pröva varje specifikt fall för att veta exakt vad som gäller. Om informationen som tas fram anses vara en personuppgift skulle butikerna kunna behöva ett godkännande från varje kund som går in i butiken för att kunna använda tekniken.

“Just nu pågår ett arbete inom EU kring hur man ska tolka reglerna kring det här och än så länge finns ingen praxis”, säger hon.

Däremot finns det regler som säger att bolag som ska genomföra behandling av personuppgifter som kan innebära hög risk för intrång i enskilda personers integritet ska samråda med Datainspektionen innan.

“Det är synd om bolag och teknikutvecklare lägger ner miljoner på något som sedan inte får användas i Sverige. Det finns inga hinder för att de hör sig så att vi får titta på de enskilda fallen och göra en granskning”, säger hon.

Vad finns det för risker med den här tekniken?

“I USA och Asien är den här tekniken ganska utbredd men integritetslagstiftningen är betydligt strängare inom EU. Om det här är uppgifter som på något sätt kan knytas till en person, även om det inte är tänkt så, är det personuppgifter och det kan det finnas en risk att den kan användas på fel sätt.”

Hur ser det ut på andra ställen?

“I Kina använder man ansiktsigenkänning för att se hur medborgarna sköter sig. Det kan till exempel handla om att se vem som går mot rött, och sköter man sig inte kan det exempelvis påverka möjligheten att ta lån. Det är inget som jag tror kommer till Sverige eller Europa eftersom vi, som sagt, har mycket striktare regler men det kan vara bra att känna till.”

Den här artikeln har ändrats: Efter att artikeln publicerats hörde Datainspektionen av sig och ville ändra sitt uttalande om att det kan röra sig om en personuppgift när man genom ett mönster i ansiktet kategoriserar en person efter ålder och kön till att det faktiskt räknas som om en personuppgift. 

Läs fler artiklar
LÄS MER