Retningslinjer for bruk av kameraovervåking

Behandling av særlige kategorier personopplysninger

Videoovervåkingssystemer samler vanligvis inn massive mengder personopplysninger, noe som kan avsløre opplysninger av svært personlig art og særlige kategorier av personopplysninger. Tilsynelatende uvesentlige personopplysninger som samles inn via video, kan brukes til å avdekke annen informasjon for å oppnå et annet formål (for eksempel å kartlegge en enkeltpersons vaner). Videoovervåking anses likevel ikke alltid som behandling av særlige kategorier av personopplysninger.

Eksempel

Videoopptak som viser en person med briller eller rullestol, anses ikke i seg selv som særlige kategorier av personopplysninger.

Men hvis videoopptakene behandles for å utlede særlige kategorier av personopplysninger, kommer artikkel 9 til anvendelse.

Eksempel 1

Politiske synspunkter kan utledes av bilder som viser identifiserbare personer som deltar på et arrangement, er med på en streik eller lignende. Dette faller inn under artikkel 9.

Eksempel 2

Hvis et sykehus installerer et videokamera for å overvåke en pasients helsetilstand, vil det anses som behandling av særlige kategorier av personopplysninger.

Generelt sett skal prinsippet om dataminimering alltid vurderes nøye når det er snakk om å installere et videoovervåkingssystem. Derfor må den behandlingsansvarlige, selv i saker der artikkel 9 nr. 1 ikke kommer til anvendelse, alltid forsøke å minimere risikoen forbundet med å gjøre opptak som avslører andre sensitive personopplysninger (utover artikkel 9), uavhengig av formålet med behandlingen.

Eksempel

Videoovervåking som fanger opp en kirke, faller ikke i seg selv inn under artikkel 9. Med tanke på opplysningenes art, og risikoen for å fange opp andre sensitive personopplysninger (utover artikkel 9), må den behandlingsansvarlige likevel gjennomføre en svært grundig vurdering i henhold til artikkel 6 nr. 1 bokstav f når den registrertes interesser skal vurderes.

Hvis et videoovervåkingssystem brukes til å behandle særlige kategorier av personopplysninger, må den behandlingsansvarlige både finne et unntak for behandling av slike opplysninger i henhold til artikkel 9 (det vil si et unntak fra den generelle regelen om at særlige kategorier av personopplysninger ikke skal behandles), og et rettslig grunnlag i henhold til artikkel 6.

For eksempel kan artikkel 9 nr. 2 bokstav c («[…] behandlingen er nødvendig for å verne den registrertes eller en annen fysisk persons vitale interesser […]») – i teorien og i unntakstilfeller – brukes, men den behandlingsansvarlige må da kunne begrunne at det er en absolutt nødvendighet for å kunne verne en persons vitale interesser, og bevise at den registrerte «[…] fysisk eller juridisk ikke er i stand til å gi samtykke». Den behandlingsansvarlige vil heller ikke kunne bruke systemet til et annet formål enn dette.

Her er det viktig å merke seg at alle unntakene som står oppført i artikkel 9 sannsynligvis ikke vil kunne brukes til å begrunne behandlinger av særlige kategorier av personopplysninger ved bruk av videoovervåking. Nærmere bestemt kan ikke behandlingsansvarlige som behandler slike opplysninger via videoovervåking, støtte seg på artikkel 9 nr. 2 bokstav e som gjelder behandling av personopplysninger som det er åpenbart at den registrerte har offentliggjort. Det å bevege seg innenfor et kameras rekkevidde betyr ikke at den registrerte har planer om å offentliggjøre særlige kategorier av personopplysninger om seg selv.

Behandling av særlige kategorier av personopplysninger krever i tillegg at  man til enhver tid er ekstra oppmerksom på å oppfylle visse plikter, for eksempel høy grad av sikkerhet og vurdering av personvernkonsekvenser (DPIA) der det er nødvendig.

Eksempel

En arbeidsgiver kan ikke bruke videoopptak av en demonstrasjon til å identifisere streikende.

Generelle hensyn ved behandling av biometriske opplysninger

Bruken av biometriske opplysninger, og spesielt ansiktsgjenkjenning, medfører forhøyet risiko for de registrertes rettigheter. Det er viktig at bruk av slik teknologi behørig respekterer prinsippene om lovlighet, nødvendighet, forholdsmessighet og dataminimering som angitt i personvernforordningen. Selv om det kan oppfattes som spesielt effektivt å bruke slik teknologi, må den behandlingsansvarlige først og fremst vurdere konsekvensene for grunnleggende rettigheter og friheter og vurdere mindre inngripende tiltak for å oppnå sine berettigede formål med behandlingen.

For å kvalifisere som biometriske opplysninger slik det er definert i personvernforordningen, må behandlingen av rådata (for eksempel en fysisk persons fysiske, fysiologiske eller atferdsmessige egenskaper) innebære en måling av disse egenskapene. Siden biometriske opplysninger er et resultat av slike målinger, fastslås det i artikkel 4 nr. 14 at de «[…] stammer fra en særskilt teknisk behandling knyttet til en fysisk persons fysiske, fysiologiske eller atferdsmessige egenskaper, og som muliggjør eller bekrefter en entydig identifikasjon av nevnte fysiske person […]».

Videoopptak av en person kan likevel ikke i seg selv anses som biometriske opplysninger i henhold til artikkel 9, så lenge opptaket ikke har gjennomgått særskilt teknisk behandling for å bidra til å identifisere en person.(Personvernforordningens fortalepunkt 51 støtter denne analysen og fastslår at «[…] Behandling av fotografier bør ikke systematisk anses som behandling av særlige kategorier av personopplysninger, ettersom fotografier omfattes av definisjonen av biometriske opplysninger bare når de behandles ved hjelp av et særskilt teknisk middel som gjør det mulig entydig å identifisere eller autentisere en fysisk person […]»). 

For at det skal kunne anses som behandling av særlige kategorier av personopplysninger, må de biometriske opplysningene behandles «med det formål å entydig identifisere en fysisk person».

For å oppsummere, i lys av artikkel 4 nr. 14 og artikkel 9, er det tre kriterier som må vurderes:

  • Opplysningenes art: Opplysninger som er knyttet til en fysisk persons fysiske, fysiologiske eller atferdsmessige egenskaper.
  • Hvordan og med hvilke midler behandlingen gjennomføres: Opplysninger «som stammer fra en særskilt teknisk behandling».
  • Formålet med behandlingen: Opplysningene må behandles «med det formål å entydig identifisere en fysisk person».

Bruk av videoovervåking med biometrisk gjenkjenningsteknologi i regi av private virksomheter for egne formål (for eksempel markedsføring, statistikk eller sikkerhet) vil, i de fleste tilfeller, kreve uttrykkelig samtykke fra alle registrerte (artikkel 9 nr. 2 bokstav a), men et annet egnet unntak i artikkel 9 kan eventuelt også komme til anvendelse.

Eksempel 1

For å forbedre tjenestene sine, erstatter et privat selskap kontrollpunktene for identifisering av passasjerer på en flyplass (bagasjeskranke, ombordstigning) med videoovervåkingssystemer som bruker ansiktsgjenkjenning til å verifisere identiteten til passasjerene som har gitt sitt samtykke til denne fremgangsmåten. Siden behandlingen faller inn under artikkel 9, må passasjerene, som tidligere har måttet gi uttrykkelig og informert samtykke, møte opp ved for eksempel en automatisk terminal for å opprette og registrere en ansiktsmal knyttet til ombordstigningskortet og identiteten deres.

Kontrollpunktene med ansiktsgjenkjenning må være tydelig atskilt; systemet kan for eksempel installeres i en egen sluse, slik at personer som ikke har samtykket, ikke blir fanget opp. Bare passasjerene som har gitt forutgående samtykke og har gjennomført registreringen av ansiktsmalen, kan bruke slusen som er utstyrt med det biometriske systemet.

Eksempel 2

En behandlingsansvarlig regulerer hvem som har adgang til bygningen han eier, ved hjelp av ansiktsgjenkjenning. Adgangsmetoden kan utelukkende brukes av folk som på forhånd har gitt uttrykkelig, informert samtykke (i henhold til artikkel 9 nr. 2 bokstav a). Men for å sikre at ingen som ikke har gitt forutgående samtykke, blir fanget opp, bør ansiktsgjenkjenningen utløses av den registrerte selv, for eksempel ved at vedkommende trykker på en knapp.

For å sikre at behandlingen er lovlig, må den behandlingsansvarlige alltid tilby en alternativ måte å få adgang til bygningen på, uten biometrisk behandling, slik som for eksempel kort eller nøkler.

I denne typen saker hvor det genereres biometriske maler, må den behandlingsansvarlige sørge for at så snart det er avgjort om ansiktet gir et treff eller ikke, må alle midlertidige maler som lages der og da (med uttrykkelig og informert samtykke fra den registrerte) for å sammenlignes med de malene som ble opprettet da enkeltpersonene registrerte seg, umiddelbart bli slettet på en sikker måte. Malene som opprettes under registreringen, skal bare beholdes for å kunne oppfylle formålet med behandlingen, og skal ikke lagres eller arkiveres.

Dersom formålet med behandlingen derimot er å skjelne mellom to kategorier av mennesker, men uten å entydig identifisere enkeltpersoner, faller behandlingen utenfor artikkel 9.

Eksempel

En butikkeier ønsker å tilpasse annonseringen sin basert på kjønnet og alderen til kundene som fanges opp av et videoovervåkingssystem. Hvis systemet ikke genererer biometriske maler for å entydig identifisere personer, men i stedet bare registrerer egenskaper knyttet til kjønn og alder for å klassifisere personene, faller ikke behandlingen inn under artikkel 9 (så lenge ingen andre former for særlige kategorier av personopplysninger blir behandlet).

Artikkel 9 får likevel anvendelse hvis den behandlingsansvarlige lagrer biometriske opplysninger (vanligvis gjennom maler som opprettes ved å hente ut hovedtrekk fra biometriske rådata, for eksempel ansiktsmålinger fra et bilde) for å entydig identifisere en person.

Hvis den behandlingsansvarlige ønsker å avdekke om en registrert kommer tilbake til området eller beveger seg inn på et annet område (for eksempel som ledd i kontinuerlig tilpasning av reklame), vil formålet være entydig identifisering av en fysisk person, noe som betyr at hele prosessen faller inn under artikkel 9. Dette kan være tilfellet hvis en behandlingsansvarlig lagrer genererte maler for å kunne vise skreddersydde annonser på flere skjermer rundt om i butikken. Siden systemet bruker fysiske egenskaper til å spore og kjenne igjen spesifikke personer når de kommer innenfor kameraets rekkevidde igjen (slik som besøkende på et kjøpesenter), er det å anse som biometrisk identifisering, da det er rettet mot gjenkjenning ved bruk av særskilt teknisk behandling.

Eksempel

En butikkeier har installert et system for ansiktsgjenkjenning i butikken sin for å tilpasse annonseringen til enkeltpersoner. Den behandlingsansvarlige må innhente uttrykkelig og informert samtykke fra alle registrerte før hun kan bruke det biometriske systemet og levere skreddersydde annonser.

Systemet vil være ulovlig hvis det fanger opp besøkende eller forbipasserende som ikke har samtykket til opprettelsen av sin egen biometriske mal, selv om malen slettes så raskt som overhodet mulig. Disse midlertidige malene utgjør biometriske opplysninger som behandles for å entydig identifisere personer som kanskje ikke ønsker å motta målrettet reklame.

Personvernrådet noterer seg at enkelte biometriske systemer installeres i ukontrollerte omgivelser (dette innebærer at det biometriske systemet befinner seg på et offentlig tilgjengelig område og kan fungere på alle som passerer det, i motsetning til biometriske systemer i kontrollerte omgivelser, som bare kan brukes av personer som har gitt samtykke til det), noe som betyr at systemet omfatter opptak av ansiktene til alle personer som passerer innenfor kameraets rekkevidde, inkludert personer som ikke har samtykket til det biometriske systemet og dermed heller ikke til opprettelse av biometriske maler.

Disse malene sammenlignes med de som opprettes av registrerte som har gitt forutgående samtykke i løpet av en registreringsprosess (det vil si en bruker av det biometriske systemet), slik at den behandlingsansvarlige kan se om personen bruker det biometriske systemet eller ikke. I slike tilfeller er systemet ofte utformet slik at det differensierer mellom de personene det ønsker å gjenkjenne fra en database, og de som ikke er registrert. Siden formålet er entydig identifisering av fysiske personer, er det fortsatt nødvendig med et unntak i henhold til artikkel 9 nr. 2 i personvernforordningen for alle som fanges opp av kameraet.

Eksempel 1

Et hotell bruker videoovervåking til å varsle hotelldirektøren automatisk om at en VIP-gjest har ankommet så snart gjestens ansikt gjenkjennes. Disse VIP-gjestene har tidligere gitt uttrykkelig samtykke til bruk av ansiktsgjenkjenning før de lot seg registrere i en database som er opprettet til dette formålet. Disse behandlingssystemene for biometriske opplysninger vil være ulovlige så fremt ikke alle andre gjester som overvåkes (for å kunne identifisere VIP-gjestene), har samtykket til behandlingen i henhold til artikkel 9 nr. 2 i personvernforordningen.

Eksempel 2

En behandlingsansvarlig installerer et videoovervåkingssystem med ansiktsgjenkjenning over inngangen til konsertsalen han driver. Den behandlingsansvarlige må sette opp klart atskilte innganger: én med et biometrisk system og én uten (for eksempel der de besøkende i stedet skanner en billett). Inngangen som er utstyrt med biometrisk system, må installeres og gjøres tilgjengelig på en slik måte at systemet ikke registrerer biometriske maler av tilskuere som ikke har gitt samtykke til dette.

Når samtykke er påkrevd i henhold til artikkel 9, kan ikke den behandlingsansvarlige gjøre samtykket til biometrisk behandling til en betingelse for tilgang til tjenestene. Den behandlingsansvarlige må med andre ord, og spesielt når den biometriske behandlingen brukes med autentisering som formål, tilby en alternativ løsning som ikke involverer biometrisk behandling – uten begrensninger eller ekstrakostnader for den registrerte. Denne alternative løsningen er også nødvendig for personer som ikke har mulighet til å bruke det biometriske systemet (umulig å registrere eller lese av de biometriske opplysningene, nedsatt funksjonsevne vanskeliggjør bruken, og så videre), og i tilfelle det biometriske systemet skulle være utilgjengelig (for eksempel som følge av en funksjonsfeil på systemet), må det foreligge en «reserveløsning» som kan holde den aktuelle tjenesten tilgjengelig uten avbrudd, men som bare skal brukes unntaksvis. I unntakstilfeller kan det oppstå situasjoner der behandlingen av biometriske opplysninger er kjerneaktiviteten til en tjeneste som tilbys på bakgrunn av en avtale.

Eksempel

Et museum setter opp en utstilling for å demonstrere bruk av ansiktsgjenkjenning, og de registrerte har ikke mulighet til å avslå behandlingen av biometriske opplysninger hvis de skulle ønske å delta på utstillingen. I et slikt tilfelle vil samtykke i henhold til artikkel 9 fortsatt være gyldig, så lenge kravene i artikkel 7 er oppfylt.

Anbefalte tiltak for å minimere risiko ved behandling av biometriske opplysninger

I samsvar med prinsippet om dataminimering må den behandlingsansvarlige sørge for at opplysningene som hentes ut fra et digitalt bilde med tanke på å bygge en mal, ikke er for omfattende og bare inneholder informasjon som er nødvendig for det angitte formålet, slik at eventuell annen behandling unngås. Det skal treffes tiltak for å garantere at malene ikke kan overføres mellom biometriske systemer.

Identifisering og autentifisering/verifisering vil mest sannsynlig kreve at malen lagres for bruk i senere sammenligninger. Den behandlingsansvarlige må vurdere hva som er det mest egnede stedet for lagring av opplysningene. I kontrollerte omgivelser (avgrensede ganger eller kontrollpunkter) skal maler lagres på en separat enhet som den registrerte har full kontroll over (på en smarttelefon eller et ID-kort), eller – når det er nødvendig for bestemte formål og i tilfelle det objektivt sett er behov for det – lagres i en sentralisert database i kryptert form, med nøkkel/passord som kun den registrerte har tilgang til, for å forhindre at uvedkommende får tilgang til malen eller lagringsstedet. Hvis den behandlingsansvarlige ikke kan forhindre at han selv har tilgang til malene, må han treffe egnede tiltak for å sikre informasjonssikkerheten til de lagrede opplysningene. Dette kan omfatte å kryptere malen ved hjelp av en kryptografisk algoritme.

I alle tilfeller må den behandlingsansvarlige ta alle nødvendige forholdsregler for å sikre de behandlede opplysningenes tilgjengelighet, integritet og konfidensialitet. For å oppnå dette må den behandlingsansvarlige treffe følgende tiltak:

  • kategorisere opplysningene under overføring og lagring,
  • lagre biometriske maler og rådata eller identitetsopplysninger i separate databaser,
  • kryptere biometriske opplysninger, spesielt biometriske maler, og definere retningslinjer for kryptering og nøkkeladministrasjon,
  • treffe et teknisk og organisatorisk tiltak for å avdekke svindel,
  • knytte en integritetskode til opplysningene (for eksempel signatur eller avtrykk) og
  • forhindre all ekstern tilgang til de biometriske opplysningene.

Slike tiltak må kunne tilpasses den teknologiske utviklingen.

I tillegg må behandlingsansvarlige iverksette sletting av rådata (ansiktsbilder, talesignaler, ganglag og så videre) og sørge for at slettingen fungerer som den skal. Foreligger det ikke lenger noe rettslig grunnlag for behandlingen, må rådataene slettes. Ettersom biometriske maler stammer fra slike opplysninger, kan det antas at databaser i seg selv kan representere en like stor, om ikke større, trussel (fordi det ikke alltid vil være lett å lese en biometrisk mal uten kunnskap om hvordan den ble programmert, mens rådata danner utgangspunkt for enhver mal). I tilfelle den behandlingsansvarlige har behov for å oppbevare slike opplysninger, må det vurderes bruk av «støy» (for eksempel i form av vannmerking) for å forhindre at det kan opprettes maler basert på opplysningene.

Den behandlingsansvarlige må også slette biometriske opplysninger og maler hvis uvedkommede skulle få tilgang til terminalen for sammenligning av maler eller serveren opplysningene er lagret på, samt slette eventuelle opplysninger som ikke lenger er nødvendige for videre behandling, ved slutten av den biometriske enhetens levetid.