ARTIKEL 29-GRUPPEN VEDRØRENDE DATABESKYTTELSE. Udtalelse nr. 02/2012 om ansigtsgenkendelse i online- og mobiltjenester

Transkript

1 ARTIKEL 29-GRUPPEN VEDRØRENDE DATABESKYTTELSE 00727/12/DA WP 192 Udtalelse nr. 02/2012 om ansigtsgenkendelse i online- og mobiltjenester Vedtaget den 22. marts 2012 Gruppen er nedsat ved artikel 29 i direktiv 95/46/EF. Den er et uafhængigt EU-rådgivningsorgan vedrørende databeskyttelse og beskyttelse af privatlivets fred. Dens opgaver er beskrevet i artikel 30 i direktiv 95/46/EF og artikel 15 i direktiv 2002/58/EF. Gruppens sekretariat varetages af Direktorat C (Grundlæggende rettigheder og Unionsborgerskab) i Europa-Kommissionens Generaldirektorat for Retlige Anliggender (1049 Bruxelles, Belgien, kontor nr. MO-59 02/013. Websted:

2 1. Indledning Ansigtsgenkendelsesteknologi har i de senere år været inde i en rivende udvikling, både med hensyn til tilgængelighed og nøjagtighed. Denne teknologi er således blevet integreret i online- og mobiltjenester til brug ved identifikation, autentifikation/verifikation eller kategorisering af personer. Teknologien, der engang blev betragtet som det rene science fiction, er nu en del af virkeligheden og kan bruges af både offentlige og private organisationer. Blandt eksemplerne på anvendelse i online- og mobiltjenester kan nævnes sociale netværk og smartphoneproducenter. Muligheden for automatisk at indsamle data og genkende et ansigt ud fra et digitalt billede er tidligere behandlet af Artikel 29-Gruppen i arbejdsdokumentet om biometri (WP 80) og den nyligt offentliggjorte udtalelse nr. 03/2012 (WP 193) om udviklingen inden for biometriteknologi. Ansigtsgenkendelse betragtes som henhørende under biometri, da det i mange tilfælde indeholder tilstrækkelig mange data til at muliggøre en fuldstændig identifikation af en person. Det hedder i udtalelse nr. 03/2012, at: "[biometri] muliggør automatiseret sporing, eftersporing eller profilering af personer og har som sådan en potentielt stor indvirkning på privatlivets fred og beskyttelse af personoplysninger". Denne udtalelse gælder i særlig grad for ansigtsgenkendelse i online- og mobiltjenester, hvor det er muligt at tage billeder af en person (med eller uden den pågældendes viden) og derefter sende dem til en fjernserver til viderebehandling. Onlinetjenester, der ofte ejes og drives af private organisationer, har opbygget enorme samlinger af billeder, som de registrerede selv har uploadet. I nogle tilfælde er disse billeder måske hentet ulovligt fra andre offentlige websteder såsom søgemaskiners cachelagre. Med små mobile enheder med kameraer med høj opløsning kan brugerne tage billeder og linke i realtid til onlinetjenester gennem dataforbindelser, der konstant er aktive. Som følge heraf kan brugerne udveksle disse billeder med andre eller foretage identifikation, autentifikation/verifikation eller kategorisering for at få adgang til yderligere oplysninger om den kendte eller ukendte person, de har foran sig. Ansigtsgenkendelse i onlinetjenester og mobile tjenester kræver derfor særlig opmærksomhed fra Artikel 29-Gruppen, da brugen af denne teknologi indebærer mange forskellige problemstillinger med hensyn til databeskyttelse. Formålet med denne udtalelse er at behandle de retlige rammer og fremsætte relevante anbefalinger vedrørende ansigtsgenkendelsesteknologi, når denne bruges i forbindelse med online- og mobiltjenester. Udtalelsen er henvendt til europæiske og nationale lovgivende myndigheder, registeransvarlige og brugere af denne teknologi. Udtalelsen gengiver ikke de principper, der er beskrevet i udtalelse nr. 03/2012, men er baseret på denne og drøfter principperne i forbindelse med online- og mobiltjenester. 2. Definitioner Ansigtsgenkendelsesteknologi er ikke noget nyt, og der findes en lang række definitioner og fortolkninger af terminologien. Det vil derfor være nyttigt med en klar definition af den teknologi, der behandles i denne udtalelse. 1

3 Digitalt billede: Et digitalt billede er en gengivelse af et todimensionelt billede i digital form. De seneste fremskridt inden for ansigtsgenkendelsesteknologi kræver imidlertid, at man medtager tredimensionelle billeder ud over både statiske og levende billeder (f.eks. fotografier og videooptagelser). Ansigtsgenkendelse: Ansigtsgenkendelse er automatisk behandling af digitale billeder, der indeholder ansigter af personer, med henblik på identifikation, autentifikation/verifikation eller kategorisering 1 af de pågældende personer. Selve ansigtsgenkendelsesprocessen består af en række selvstændige delprocesser: a) Hentning af billeder: Processen med at hente et billede af en persons ansigt og efterfølgende konvertere det til digital form (det digitale billede). I online- og mobiltjenester kan billedet være hentet i et andet system, f.eks. hvis man tager et foto med et digitalkamera, som så overføres til en onlinetjeneste. b) Ansigtsdetektering: Detektering af tilstedeværelsen af et ansigt i et digitalt billede og markering af området. c) Normalisering: Udligning af variationer på tværs af de detekterede ansigtsområder, f.eks. ved at konvertere til standardstørrelse, rotere eller tilpasse farvefordelingen. d) Ekstraktion af ansigtstræk: Processen med at isolere og frembringe gentagne, distinkte læsninger fra det digitale billede af en person. Ekstraktion af ansigtstræk kan være holistisk 2, baseret på ansigtstræk 3 eller en kombination af de to metoder 4. Dette sæt af vigtige ansigtstræk kan lagres med henblik på senere sammenligning i en skabelon 5. e) Registrering: Hvis det er første gang, en person støder på ansigtsgenkendelsessystemet, kan billedet og/eller referenceskabelonen lagres med henblik på senere sammenligning. f) Sammenligning: Måling af ligheder mellem et sæt træk (genstanden) og et sæt, der allerede er registreret i systemet. Hovedformålet med sammenligningen er identifikation og autentifikation/verifikation. Et tredje formål med sammenligning er kategorisering, som er processen med ekstraktion af træk fra et billede eller en person med henblik på at klassificere den pågældende i en eller flere brede kategorier (f.eks. alder, køn, tøjfarve osv.). Et kategoriseringssystem behøver ikke omfatte en registreringsproces. 3. Eksempler på ansigtsgenkendelse i online- og mobiltjenester Ansigtsgenkendelse kan indgå i online- og mobiltjenester på mange forskellige måder og med mange forskellige formål. I denne udtalelse beskriver Artikel 29-Gruppen en række forskellige eksempler for at udbygge grundlaget for den juridiske analyse og her medtage brugen af ansigtsgenkendelse til identifikation, autentifikation/verifikation og kategorisering Identifikation, autentifikation/verifikation og kategorisering er defineret i 03/2012. Holistisk udtrækning af træk: en matematisk repræsentation af hele billedet såsom resultatet af en hovedkomponentanalyse. Udtrækning baseret på ansigtstræk: Identifikation af placeringen af forskellige ansigtstræk såsom øjne, næse og mund. Også kendt som en hybrid metode til udtrækning af ansigtstræk. Skabelonen er defineret i 03/2012 som følger: "Vigtige træk, der er hentet fra biometriske data i rå form (f.eks. ansigtsmålinger fra et billede) og lagret til efterfølgende behandling i stedet for rådataene". 2

4 3.1. Ansigtsgenkendelse med henblik på identifikation Eksempel 1: En udbyder af sociale netværk 6 tillader brugerne at vedhæfte deres profil et digitalt billede. Desuden kan brugerne uploade billeder, som kan deles med andre registrerede eller ikkeregistrerede brugere. Registrerede brugere kan manuelt identificere og markere ("tagge") andre personer (som kan være en registreret bruger, men ikke nødvendigvis er det) på de billeder, de uploader. Disse markeringer ("tags") kan ses af den, der opretter dem, deles med en bredere gruppe venner eller deles med alle registrerede eller ikkeregistrerede brugere. Udbyderen kan bruge de markerede ("taggede") billeder til at lave en referenceskabelon for de enkelte registrerede brugere og ved hjælp af et ansigtsgenkendelsessystem automatisk foreslå "tags" til nye billeder, i takt med at de uploades. Disse billeder af personer, som brugerne stiller til offentlighedens rådighed, kan så tilgås af og gemmes i cachelageret hos en internetsøgemaskine. Søgemaskinen kan derefter gøre brugernes søgninger mere nøjagtige ved at tillade dem at levere et billede af en person og returnere resultater, der næsten er overensstemmende ("close matches") og også linke tilbage til det sociale netværks profilside. Billedet kan hentes direkte fra et smartphonekamera Ansigtsgenkendelse med henblik på autentifikation/verifikation Eksempel 2: Et ansigtsgenkendelsessystem bruges til erstatning for brugernavn/adgangskode for at styre adgangen til en online- eller mobiltjeneste eller -enhed. Under registreringen bruges et kamera i enheden til at hente et billede af en autoriseret bruger af enheden, og der oprettes en referenceskabelon, som kan lagres på enheden eller fjernlagres af onlinetjenesten. For at få adgang til tjenesten eller enheden hentes et nyt billede af den person, der forsøger at få adgang, og dette sammenlignes med referencebilledet. Den pågældende får adgang, hvis systemet kan fastslå, at billederne stemmer overens Ansigtsgenkendelse med henblik på kategorisering Eksempel 3: Den sociale netværkstjeneste i eksempel 1 kan give adgang til billedbiblioteket til en tredjemand, som driver en online-ansigtsgenkendelsestjeneste. Tjenesten tillader tredjemandens kunder at indlægge ansigtsgenkendelsesteknologi i andre produkter. Med denne funktion kan disse andre produkter sende billeder af personer med det formål at detektere og kategorisere ansigter ud fra et sæt forud definerede kriterier, f.eks. deres sandsynlige alder, køn og humør. Eksempel 4: En spillekonsol bruger et bevægelseskontrolsystem, hvor brugerens bevægelser detekteres, så den pågældende kan styre spillet. Det eller de kameraer, der bruges til bevægelseskontrolsystemet, deler billeder af personen med et ansigtsgenkendelsessystem, som sandsynlighedsvurderer spillernes sandsynlige alder, køn og humør. Data, også fra andre multimodale faktorer, kan så ændre spillet for at forbedre spiloplevelsen eller ændre miljøet, så det afspejler brugerens forventede profil. På samme måde kan et system klassificere brugere for at give/forbyde adgang til aldersrelateret indhold eller vise målrettede reklamer i selve spillet. 4. Retlig ramme Den relevante retlige ramme for ansigtsgenkendelse er databeskyttelsesdirektivet (95/46/EF), som er blevet drøftet i denne sammenhæng i udtalelse nr. 03/2012. Dette afsnit indeholder 6 En udbyder af sociale netværk er bredt defineret i udtalelse nr. 05/2009 om sociale onlinenetværk som "en onlinekommunikationsplatform, der sætter personer i stand til at tilslutte sig eller oprette netværk af ligesindede brugere". 3

5 alene et sammendrag af den retlige ramme i forbindelse med ansigtsgenkendelse i online- og mobiltjenester baseret på eksemplerne i afsnit 3. Flere eksempler på ansigtsgenkendelse beskrives i udtalelse nr. 03/ Digitale billeder som personoplysninger Når et digitalt billede viser en persons ansigt klart og tydeligt og gør det muligt at identificere den pågældende, betragtes det som personoplysninger. Dette vil afhænge af en række parametre såsom billedets kvalitet eller en bestemt synsvinkel. Billeder af landskaber med personer i det fjerne, eller hvor ansigterne er slørede, vil sandsynligvis i de fleste tilfælde ikke blive betragtet som personoplysninger. Det er dog vigtigt at bemærke, at digitale billeder kan indeholde personoplysninger om mere end en person (f.eks. i eksempel 4, hvor der kan være flere spillere i billedet), og det forhold, at der er andre på billedet, kan indikere en forbindelse til disse personer. Det gentages i udtalelse nr. 04/2007 om begrebet personoplysninger, at hvis oplysninger henviser til "en persons særtræk eller adfærd, eller hvis sådanne oplysninger bruges til at fastlægge eller påvirke den måde, som denne person behandles eller bedømmes på", betragtes dette også som personoplysninger. En referenceskabelon, der er oprettet på baggrund af et billede af en person, udgør pr. definition også personoplysninger, da den indeholder et sæt distinktive træk fra en persons ansigt, som så forbindes med en bestemt person og lagres med henblik på fremtidig sammenligning i forbindelse med identifikation og autentifikation/verifikation. En skabelon eller et sæt distinktive træk, der alene bruges i et kategoriseringssystem, indeholder normalt ikke oplysninger nok til at identificere en person. Den bør kun indeholde oplysninger nok til kategoriseringen (f.eks. mand eller kvinde). I dette tilfælde ville der ikke være tale om personoplysninger, forudsat skabelonen (eller resultatet) ikke er forbundet med en persons registeroplysninger, profil eller det oprindelige billede (som stadig betragtes som personoplysninger). Da digitale billeder af personer og skabeloner desuden omfatter "biologiske egenskaber, adfærdsaspekter, fysiologiske kendetegn, levende træk eller gentagne handlinger, hvor disse træk og/eller handlinger er både enestående for denne person og målelige 7 ", bør de betragtes som biometriske data Digitale billeder som særlige kategorier af personoplysninger Digitale billeder af personer kan i visse tilfælde betragtes som en særlig kategori af personoplysninger 8. Specielt hvor digitale billeder af personer eller skabeloner viderebehandles for at udlede bestemte kategorier af data, vil de helt bestemt blive betragtet som henhørende under denne kategori. Det gælder f.eks., hvis de skal bruges til at indhente oplysninger om etnisk oprindelse, religion eller helbredstilstand Behandling af personoplysninger i forbindelse med et ansigtsgenkendelsessystem Ansigtsgenkendelse er som tidligere beskrevet baseret på en række automatiserede behandlingsfaser. Ansigtsgenkendelse udgør derfor en automatiseret form for behandling af personoplysninger, herunder biometriske data. 7 8 Definition af biometriske data fra udtalelse nr. 03/2012. Ifølge retspraksis i bestemte lande klassificeres digitale billeder af ansigter som særlig datakategorier LJN BK6331 Nederlandenes højesteret, 23. marts

6 På grund af brugen af biometriske data kan ansigtsgenkendelsessystemer være genstand for supplerende kontroller eller anden lovgivning i de enkelte medlemsstater såsom forhåndstilladelser eller arbejdsmarkedslovgivning. Brugen af biometriske data i en beskæftigelsessammenhæng er emnet for udtalelse nr. 03/ Registeransvarlig Hvis man baserer sig på ovennævnte eksempler, vil registeransvarlige typisk være webstedsejere og/eller udbydere af onlinetjenester samt operatører af mobile applikationer, der arbejder med ansigtsgenkendelse, i det omfang de bestemmer formålet med og/eller metoderne til behandlingen 9. Dette fremgår af konklusionen i udtalelse nr. 05/2009 om sociale onlinenetværk, hvor det slås fast, at "udbydere af sociale netværkstjenester er registeransvarlige efter databeskyttelsesdirektivet" Legitim grund Betingelserne for behandling af personoplysninger er fastlagt i direktiv 95/46/EF. Det betyder, at behandlingen først skal overholde datakvalitetskravene (artikel 6). I dette tilfælde skal de digitale billeder af personer og de respektive skabeloner være "relevante" og "nødvendige" i forhold til behandlingen af ansigtsgenkendelsen. Desuden kan de kun behandles, hvis et af kriterierne i artikel 7 er opfyldt. På grund af de særlige risici forbundet med biometriske data kræves der derfor et informeret samtykke fra den pågældende person, inden de digitale billeder anvendes til ansigtsgenkendelse. I nogle tilfælde kan det dog være nødvendigt for den registeransvarlige midlertidigt at gennemføre nogle faser i en behandling for at vurdere, om en bruger har givet sit samtykke eller ikke som juridisk grundlag for behandlingen. Denne indledende behandling (dvs. hentning af billede, ansigtsdetektering, sammenligning osv.) kan i så fald have sit eget retsgrundlag, såsom den registeransvarliges legitime interesse i at overholde databeskyttelsesbestemmelserne. Data, der behandles i disse faser, må således alene bruges til dette strengt begrænsede formål for at kontrollere brugerens samtykke og bør derfor slettes umiddelbart derefter. I eksempel 1 har den registeransvarlige bestemt, at alle nye billeder, der uploades af registrerede brugere af det sociale netværk, bør gøres til genstand for ansigtsdetektering, ekstraktion af ansigtstræk og sammenligning. Kun de registrerede brugere, hvis referenceskabelon er registreret i identifikationsdatabasen, vil matche disse nye billeder og derfor automatisk få foreslået en tag. Hvis personens samtykke betragtes som det eneste legitime grundlag for al behandling, vil hele tjenesten blive blokeret, da der f.eks. ikke kan indhentes et samtykke fra ikkeregistrerede brugere, hvis personoplysninger kan blive behandlet i forbindelse med ansigtsdetekteringen og ekstraktionen af ansigtstræk. Desuden vil det ikke være muligt at sondre mellem ansigter tilhørende registrerede brugere, som henholdsvis har og ikke har givet deres samtykke, uden først at foretage en ansigtsgenkendelse. Kun efter identifikationen (eller den manglende identifikation) kan den registeransvarlige vide, om de har eller ikke har et tilstrækkeligt samtykke til den specifikke behandling. Forud for, at registrerede brugere uploader et billede til det sociale netværk, skal de have klar information om, at disse billeder vil blive behandlet i et ansigtsgenkendelsessystem. Hvad vigtigere er, skal registrerede brugere også stilles et andet spørgsmål, nemlig om de vil give deres samtykke til at få deres referenceskabelon registreret i identifikationsdatabasen. Ikkeregistrerede og registrerede brugere, som ikke har givet deres samtykke til behandlingen, 9 Jf. udtalelse 01/2010 om begreberne "registeransvarlig" og "registerfører". 5

7 får derfor ikke automatisk et forslag om at få sat en tag på deres navn, fordi de billeder, de er med på, vil give resultatet "no match". Samtykke fra den, der uploader billedet, må ikke blandes sammen med, at man skal have et legitimt grundlag for at behandle personoplysninger om andre personer, som måske er med på billedet. Derfor vil den registeransvarlige måske anvende en anden legitim grund til behandling med henblik på de indledende trin (ansigtsdetektering, normalisering og sammenligning), såsom at det er i den registeransvarliges legitime interesse, forudsat at der foreligger tilstrækkelige restriktioner og kontroller til at beskytte de grundlæggende frihedsrettigheder for de registrerede, der ikke har uploadet billedet. En sådan kontrol skal omfatte sikring af, at der ikke lagres data, som er et resultat af behandlingen, når der er opnået et no match-resultat (dvs. at alle skabeloner og dertil knyttede data slettes fuldstændig). De registeransvarlige overvejer måske også at give værktøjer til deres brugere, så den, der uploader billedet, kan sløre ansigterne på personer, som giver no match mod en skabelon i referencedatabasen. Registrering af en persons skabelon i en identifikationsdatabase (så der kan opnås et matchresultat og stilles deraf følgende taggingforslag) vil kun være mulig med den registreredes informerede samtykke. I eksempel 2 er der en klar mulighed for at indhente samtykke fra den person, der har autoriseret adgangstilladelse til anordningen under registreringsprocessen. For at et samtykke er gyldigt, skal der være et alternativt og lige så sikkert adgangskontrolsystem (såsom et stærkt password). Denne alternative privatlivsvenlige mulighed skal være standard. Hvis en bruger sætter sig foran et kamera, der er forbundet med anordningen, med det udtrykkelige formål at få adgang, kan det antages, at denne person har givet sit samtykke til den deraf følgende ansigtsdatabehandling, som er nødvendig for autentifikation, også selvom personen ikke er en godkendt bruger af anordningen. Informationsniveauet skal dog stadig være tilstrækkeligt til at sikre, at samtykket er gyldigt. Yderligere udbygning af det sociale netværks fotobibliotek i eksempel 3 ville være et klart eksempel på overtrædelse af formålsbegrænsningen, og derfor skal personen give et gyldigt samtykke forud for indførelsen af en sådan funktion, der klart viser, at billedbehandlingen vil finde sted. Dette gælder også i forbindelse med søgemaskinen i eksempel 1. Billederne i søgemaskinen blev vist med det formål at blive set og ikke for at blive indlæst i et ansigtsgenkendelsessystem. Søgemaskineudbyderen skal indhente samtykke fra de registrerede, der skal registreres i det andet ansigtsgenkendelsessystem. Dette ville også være tilfældet i eksempel 4, da brugeren måske ikke forventer, at de billeder, der indhentes til bevægelseskontrol, behandles yderligere. Hvis den registeransvarlige kræver samtykke til behandling på længere sigt (dvs. over tid eller på tværs af spil), skal denne regelmæssigt minde brugerne om, at systemet kører. Systemet skal som standard være slået fra. I udtalelse nr. 15/2011 om definitionen af samtykke drøftes kvalitet, tilgængelighed og synlighed af information i forbindelse med behandling af personoplysninger. Følgende er et citat fra udtalelsen: "information skal gives direkte til personer. Det er ikke nok, at information er "tilgængelig" et eller andet sted." Information vedrørende ansigtsgenkendelsesfunktionen i en online- eller mobiltjeneste må derfor ikke være skjult, men skal være tilgængelig på en let og forståelig måde. Det skal sikres, at kameraerne ikke bruges skjult. De registeransvarlige skal tage hensyn til 6

8 offentlighedens rimelige forventninger til privatlivets fred, når de indfører ansigtsgenkendelsesteknologi, og afhjælpe disse bekymringer på en hensigtsmæssig måde. I den sammenhæng kan samtykke til registrering ikke udledes af den almindelige brugers godkendelse af de almindelige betingelser for den bagvedliggende tjeneste, medmindre det primære formål med tjenesten forventes at involvere ansigtsgenkendelse. Dette skyldes, at registrering i de fleste tilfælde bliver en supplerende funktion og ikke direkte knyttet til driften af online- eller mobiltjenesten. Brugerne forventer ikke nødvendigvis, at en sådan funktion bliver aktiveret, når de bruger tjenesten. De skal derfor udtrykkeligt have mulighed for at give deres samtykke til denne funktion, enten under registreringen eller på et senere tidspunkt, afhængigt af hvornår funktionen bliver indført. For at et samtykke skal kunne betragtes som gyldigt, skal der være afgivet tilstrækkelig information om databehandlingen. Brugerne skal altid have mulighed for let at trække deres samtykke tilbage. Når et samtykke er blevet trukket tilbage, skal behandling af data med henblik på ansigtskendelse øjeblikkelig indstilles. 5. Særlige risici og anbefalinger Risiciene for privatlivets fred på grund af et ansigtsgenkendelsessystem afhænger helt og aldeles af behandlingens karakter og formål. Nogle risici er dog mere relevante på bestemte trin i ansigtsgenkendelsen. I nedenstående afsnit belyses de største risici, og anbefalinger for god praksis beskrives Ulovlig behandling med ansigtsgenkendelse som formål I en online-sammenhæng kan den registeransvarlige indhente billeder på mange måder, f.eks. fra brugerne af online- eller mobiltjenesten, deres venner og kolleger eller fra tredjemand. Billederne kan indeholde ansigter på brugerne selv og/eller andre registrerede eller ikkeregistrerede brugere eller indhentes uden den registreredes viden. Uanset hvordan disse billeder er indhentet, skal man have et juridisk grundlag for at kunne behandle dem. Anbefaling 1: Hvis de registeransvarlige indhenter et billede direkte (f.eks. som i eksempel 2 og 4), skal de sikre, at de har et gyldigt samtykke fra de registrerede forud for erhvervelsen og give tilstrækkelig information om, hvornår et kamera er i brug med henblik på ansigtsgenkendelse. Anbefaling 2: Hvis en person indhenter digitale billeder og uploader dem til online- og mobiltjenester med henblik på ansigtsgenkendelse, skal de registeransvarlige sikre, at den, der uploader billedet, har givet sit samtykke til billedbehandling med henblik på ansigtsgenkendelse. Anbefaling 3: Hvis de registeransvarlige indhenter digitale billeder af en person fra tredjemand (f.eks. kopieret fra et websted eller købt fra en anden registeransvarlig), skal de omhyggeligt vurdere kilden og den sammenhæng, som det originale billede er taget i, og behandling må kun ske, hvis de registrerede har givet deres samtykke til det. Anbefaling 4: De registeransvarlige skal sikre, at digitale billeder og skabeloner kun bruges til det specifikke formål, de er erhvervet til. De registeransvarlige skal opsætte tekniske kontroller for at mindske risikoen for, at digitale billeder behandles yderligere af tredjemand med formål, som brugeren ikke har givet sit samtykke til. De registeransvarlige skal stille værktøjer til rådighed for brugere, så de kan kontrollere 7

9 synligheden af de billeder, de har uploadet, idet standardindstillingen er at begrænse tredjemands adgang. Anbefaling 5: De registeransvarlige skal sikre, at digitale billeder af personer, som ikke er registrerede brugere af tjenesten eller ikke på anden vis har givet samtykke til denne behandling, kun behandles i det omfang, som de registeransvarlige har en lovlig interesse i. I tilfælde 1 skal de f.eks. indstille behandlingen og slette alle data i tilfælde af et no match-resultat. Brud på sikkerhedsbestemmelser under transit I online- og mobiltjenester er det sandsynligt, at data er i transit mellem hentning af et billede og de efterfølgende behandlingsfaser (f.eks. uploading af et billede fra et kamera til et websted med henblik på ekstraktion af ansigtstræk og sammenligning). Anbefaling 6: De registeransvarlige skal træffe hensigtsmæssige foranstaltninger for at skabe sikkerhed for data i transit. Dette kan omfatte krypterede kommunikationskanaler eller kryptering af det indhentede billede. Hvor det er muligt og især i forbindelse med autentifikation/verifikation, bør lokal behandling foretrækkes Sletning, normalisering og ekstraktion af ansigtstræk Minimering af data: Skabeloner, der genereres af et ansigtsgenkendelsessystem, kan indeholde flere data end nødvendigt for de(t) specificerede formål. Anbefaling 7: De registeransvarlige skal sikre, at data, der er hentet fra et digitalt billede for at opbygge en skabelon, er nødvendige og kun indeholder de oplysninger, der er en forudsætning for at nå det angivne formål, således at man undgår eventuel videre behandling. Skabeloner bør ikke overføres fra et ansigtsgenkendelsessystem til et andet. Brud på sikkerhedsbestemmelserne under datalagring Identifikation og autentifikation/verifikation kræver sandsynligvis lagring af skabelonen til brug ved senere sammenligninger. Anbefaling 8: De registeransvarlige skal overveje den mest hensigtsmæssige placering af datalageret. Dette kan være på brugerens anordning eller i de registeransvarliges systemer. De registeransvarlige skal træffe hensigtsmæssige foranstaltninger for at skabe sikkerhed for lagrede data. Dette kan omfatte kryptering af skabelonen. Det bør ikke være muligt at få uautoriseret adgang til skabelonen eller lagringsstedet. Især i tilfælde af ansigtsgenkendelse med henblik på kontrol kan der bruges biometriske krypteringsteknikker. Med disse teknikker er krypteringsnøglen direkte bundet til de biometriske data og genskabes kun, hvis de korrekte levende biometriske prøver præsenteres ved kontrol, men der lagres ingen billeder eller skabeloner (der ville danne en slags "usporbare biometriske data"). 8

10 Adgang for registrerede Anbefaling 9: De registeransvarlige skal give de registrerede hensigtsmæssige mekanismer til at udøve deres adgangsret til både de originale billeder og de skabeloner, der er skabt i forbindelse med ansigtsgenkendelse. Udfærdiget i Bruxelles, den 22. marts 2012 På Artikel 29-Gruppens vegne Jacob Kohnstamm Formand 9