Bilaga D: Dataskyddsförordningens bestämmelser vid behandling av biometriska uppgifter

Bilaga D till ”Vägledning för utfärdare: Uppfyllande av tillitsramverkets krav för Svensk e-legitimation.”

1. Inledning

Enligt tillitsramverkets bestämmelse K5.13 får utfärdare identifiera sökanden helt på distans genom biometrisk jämförelse mellan en ansiktsbild avläst från en fullgod giltig ID-handling och en eller flera ansiktsbilder som sökanden själv tagit upp med egen utrustning, till exempel sin mobiltelefon.

Utfärdaren ska sedan kontrollera att bilderna från kameran och ID-handlingen ser ut att föreställa samma person. För detta ska ansiktsigenkänningsteknikanvändas, eventuellt i kombination med manuell granskning. Denna behandling ger upphov till ett antal frågeställningar i förehållande till dataskyddsförordningens bestämmelser. Det är förvisso inte Diggs uppgift att uttolka innebörden i dessa bestämmelser, men som en allmän information om vilka rättsfrågor som kan aktualiseras lämnas en översiktlig redogörelse av dem i denna bilaga.

2. Känsliga personuppgifter

Behandlingen av personuppgifter avser här ansiktsbilder som hanteras med elektroniska hjälpmedel i syfte att identifiera en fysisk person på ett tillräckligt säkert sätt. Med biometriska uppgifter menas i dataskyddsförordningen personuppgifter som erhållits genom en särskild teknisk behandling som rör en fysisk persons fysiska, fysiologiska eller beteendemässiga kännetecken och som möjliggör eller bekräftar identifieringen av denna fysiska person, såsom ansiktsbilder eller fingeravtrycksuppgifter (artikel 4.14). Det är fråga om en sådan behandling av känsliga personuppgifter (biometriska uppgifter för att identifiera en fysisk person) som enligt huvudregeln i artikel 9.1 i dataskyddsförordningen är förbjuden.

För att behandlingen av personuppgifter ska vara tillåten krävs att något av de undantag från förbudet som anges i artikel 9.2 i dataskyddsförordningen är tillämpligt. Det enda undantag som i praktiken kan komma ifråga är det undantag som enligt artikel 9.2 a gäller när den registrerade uttryckligen har lämnat sitt samtycke till behandlingen av de biometriska uppgifterna för detta specifika ändamål.

Om det finns ett giltigt samtycke enligt artikel 9.2 a uppfylls också det grundläggande kravet i artikel 6.1 på att det ska finnas en rättslig grund för behandlingen av personuppgifterna, eftersom en sådan rättslig grund är att den registrerade har lämnat sitt samtycke till att dennes personuppgifter behandlas för ett eller flera specifika ändamål (punkt a). Med den registrerades samtycke till behandlingen blir vidare restriktionerna för att behandla personnummer i 3 kap. 10 § lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning inte tilllämpliga.

3. Samtycke

Med samtycke av den registrerade avses i dataskyddsförordningen varje slag av frivillig, specifik, informerad och otvetydig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller genom en entydig bekräftande handling, godtar behandling av personuppgifter som rör honom eller henne (artikel 4.11). Av den definitionen framgår således att ett samtycke av den registrerade måste vara frivilligt. Ett samtycke av den registrerade är frivilligt om den registrerade har ett verkligt fritt val.

Innebörden är att den registrerade ska ha möjlighet att välja fritt och till exempel inte känna sig tvingad eller få utstå negativa konsekvenser om de inte samtycker. I denna fråga har Integritetsskyddsmyndigheten i Vägledning till politiska aktörer om dataskyddsreglerna i samband med valkampanjer (IMY-2022-2719, s. 12 f.) uttryckt sig så här:

Samtycket är […] inte frivilligt om valet består av att välja mellan att samtycka till personuppgiftsbehandling för att använda en tjänst eller att välja en likvärdig tjänst som erbjuds av någon annan, då valfriheten i så fall skulle bero på vad andra aktörer på marknaden gör och om en viss person anser att den andra tjänsten är helt likvärdig.

För att ett verkligt fritt val ska kunna anses föreligga måste utfärdaren alltså även erbjuda andra sätt för grundidentifiering, till exempel vid ett personligt besök där en fullgod fysisk identitetshandling medförs.

Av definitionen av samtycke framgår också att det ska vara fråga om en informerad viljeyttring. Även i artikel 13 i dataskyddsförordningen finns det krav på att självmant lämna den registrerade information i samband med att personuppgifter registreras. Det är alltså viktigt, och nödvändigt, att den registrerade får all information som krävs, bl.a. så att han eller hon förstår att såväl ansiktsbilden från ID-handlingen, personnumret och de nytagna ansiktsbilderna överförs elektroniskt till utfärdaren av e-legitimationer för att där jämföras med varandra med elektroniska hjälpmedel för att fastställa identiteten.

4. Automatiserade beslut

Det finns särskilda restriktioner i artikel 22 i dataskyddsförordningen i fråga om så kallade automatiserade beslut som måste följas om förfarandet skulle innefatta sådana beslut, det vill säga beslut som fattas utan mänsklig inblandning från utfärdarens sida och som avser bifall eller avslag på ansökan om e-legitimation. Även känsliga personuppgifter får emellertid användas för automatiserade beslut om beslutet grundar sig på den registrerades uttryckliga samtycke.

5. Konsekvensbedömning

Innan behandlingen av personuppgifterna genomförs måste den personuppgiftsansvarige utfärdaren av e-legitimationer även ha genomfört en konsekvensbedömning avseende dataskydd enligt artikel 35 i dataskyddsförordningen. Att så måste ske följer av att det förmodligen är fråga om behandling i stor omfattning av känsliga personuppgifter (artikel 35.3 b i dataskyddsförordningen). Även om en utfärdare av e-legitimationer bara skulle använda förfarandet i mindre omfattning lär det följa av Integritetsskyddsmyndighetens förteckning över när en konsekvensbedömning avseende dataskydd ska göras (kriterium 4 och 8 i förteckningen) att en konsekvensbedömning krävs.

6. Övriga bestämmelser

Denna uppräkning av frågor som behöver beaktas vid behandling av biometriska uppgifter är inte uttömmande. I dataskyddsförordningens artikel 5 finns grundläggande principer för behandling av personuppgifter som utfärdaren av e‑legitimationer måste följa, liksom kraven på säkerhet vid behandling av personuppgifter enligt artikel 24 och 32. Det är utfärdarens ansvar att dessa liksom övriga relevanta bestämmelser i dataskyddsförordningen efterlevs.

Hjälpte denna information dig?

Ditt svar hjälper oss att förbättra sidan

Senast uppdaterad: