AI-system används i allt större utsträckning i kombination med kamerabevakningssystem för att analysera personer i realtid i fysiska miljöer som butiker, köpcenter, torg och till och med hela stadscentrum. Analyserna används för olika ändamål, exempelvis för att visa annonser på digitala skärmar som placeras i dessa miljöer.
Vid användning av sådana AI-system behandlas regelbundet biometriska personuppgifter i dataskyddsförordningens (GDPR) mening. Samtidigt innehåller GDPR ett förbud mot att behandla biometriska uppgifter som entydigt identifierar en fysisk person. I denna artikel förklarar vi förbudet med hjälp av ett exempel från en matbutik.
Enligt artikel 9.1 GDPR är det förbjudet att behandla biometriska uppgifter för att entydigt identifiera en fysisk person. Biometriska uppgifter definieras i artikel 4.14 GDPR som personuppgifter som erhålls genom en särskild teknisk behandling som rör en fysisk persons fysiska, fysiologiska eller beteendemässiga kännetecken och som möjliggör eller bekräftar identifieringen av denna fysiska person, såsom ansiktsbilder eller fingeravtrycksuppgifter.
För att bedöma om förbudet mot att behandla biometriska uppgifter aktualiseras krävs således en analys av uppgifternas karaktär, behandlingssättet och behandlingsmetoderna. Vidare krävs en analys av syftet med behandlingen. Ett exempel är en matbutik som har installerat skärmar som visar reklam för kunder som befinner sig i butiken. Butiken vill använda ett AI-system för att anpassa annonserna som visas på skärmarna baserat på kundernas kön och ålder genom att analysera inspelningarna som görs av kamerabevakningssystemet i realtid.
AI-systemet tar inte fram några biometriska mallar för att identifiera kunderna utan läser bara av deras fysiska egenskaper för att härleda kön och uppskatta åldern. Dessa uppgifter kopplas inte till enskilda kunder på något sätt, varken direkt eller indirekt, utan behandlas i aggregerad form. Vid en given tidpunkt vet AI-systemet således endast att ett visst antal män eller kvinnor av en viss ålder befinner sig i butiken.
Detta innebär att AI-systemet inte kan användas för att följa enskilda kunders rörelser genom butiken, men detta behövs inte heller för att visa ålders- och könsanpassad reklam på skärmarna. I exemplet bör behandlingen inte omfattas av förbudet mot att behandla biometriska uppgifter, eftersom behandlingen inte syftar till att entydigt identifiera kunderna. Detta bör gälla trots att AI-systemet härleder kundernas kön och uppskattar deras ålder genom att behandla uppgifter om kundernas fysiska och fysiologiska kännetecken.
Bedömningen blir dock en annan om butiken vill kunna visa anpassade annonser till enskilda kunder. När en kund kommer in i butiken ska AI-systemet ta fram en biometrisk mall av kundens ansikte. AI-systemet ska sedan använda mallen för att analysera kundens rörelser i butiken i realtid och visa kunden anpassade annonser på skärmar i kundens synfält.
I detta fall behandlar butiken biometriska uppgifter om kunder för att entydigt identifiera dem, varför behandlingen omfattas av förbudet mot att behandla biometriska uppgifter. Detta gäller trots att butiken inte identifierar kunderna med namn eller adress. En sådan identifiering skulle emellertid vara tekniskt möjlig, till exempel genom att samköra kundernas biometriska mallar med bilder på sociala medier eller andra ansiktsdatabaser. Bedömningen är densamma om AI-systemet använder sig av andra biometriska uppgifter än kundernas ansikten, såsom kroppsform eller beteendemässiga kännetecken som gång.
Butiken måste således identifiera ett tillämpligt undantag från förbudet mot att behandla biometriska uppgifter. Ett undantag som ligger nära till hands är att hämta in ett uttryckligt samtycke från kunderna innan de går in i butiken. Det är dock lätt att ifrågasätta om ett sådant samtycke kan vara giltigt. Hur ska det utformas så att kunden lämnar en otvetydig viljeyttring genom vilken kunden godtar behandlingen? Och hur ska det säkerställas att kunden samtycker frivilligt?
I praktiken bör det vara svårt för butiken att implementera en samtyckeslösning som uppfyller samtliga krav som ställs för samtyckets giltighet. I förlängningen kan detta innebära att butiken inte kan använda ett AI-system som visar anpassade annonser till enskilda kunder utan måste nöja sig med att visa reklam som inte är anpassad. Butiken bör även vara medveten om att en juridisk utredning av frågan om individanpassade annonser kan användas på ett sätt som är förenligt med GDPR kan vara tidskrävande och kostsam.
Ovanstående resonemang kan även tillämpas på andra scenarier, exempelvis ett köpcenter som vill använda ett AI-system för att följa och analysera besökares rörelser genom köpcentret. Ett annat exempel är en kommun som vill använda ett AI-system för att följa och analysera människors rörelser i stadscentrum.
Denna analys är begränsad till förbudet mot att behandla biometriska personuppgifter enligt artikel 9.1 GDPR. I förekommande fall behöver personuppgiftsansvariga även analysera andra relevanta bestämmelser i GDPR och annan tillämplig lagstiftning, bland annat AI-förordningen.