Förhandssamråd om analysverktyg gällande besökares rörelsemönster i butik
Ansiktsigenkänningsteknik har många användningsområden. Tekniken medför dock en hög risk för att personuppgifter behandlas i strid med GDPR. I samband med lansering av ett verktyg för analys av bildmaterial från sin butiks kamerabevakningssystem, har ett bolag lämnat in en begäran om förhandssamråd enligt GDPR artikel 36. I detta inlägg diskuteras Datainspektionens råd till bolaget.
Bakgrund
Bolaget planerar att i Stockholm öppna en butik och att i butiken använda butikens kamerabevakningssystem för att analysera kamerornas bildmaterial i syfte att:
- förstå hur olika objekt i butiksmiljön attraherar intresse för besökare,
- förstå var och när köer bildas,
- förstå hur besöksflöden sker, och
- förstå hur besökare navigerar i butikens planerade kundvarv.
Den analys som bolaget utför kommer att användas för att förändra kunders rörelsemönster i syfte att öka försäljning och val av platser i butiken där personal bör placeras. Data ska även på sikt kunna jämföras mellan olika butiker i syfte att förstå skillnader mellan dessa.
Tekniken bygger på att butikens kameror skickar bilder på besökare i realtid till en server belägen i butiken. I servern finns en mjukvara installerad som tilldelar en fysisk besökare ett s k grupp-ID baserat på deras digitala ansiktsbild från butikens övervakningskamera samt en tidsstämpel kopplat till ett av tre möjliga tidsintervall för när besökaren besökt butiken. Tilldelningen av ett grupp-ID sker med hjälp av ett neutralt nätverk från personuppgiftsbiträdet. Grupp-ID från butikens server skickas därefter till biträdets molntjänst, som är lokaliserad i Tyskland, där grupp-ID analyseras.
Enligt bolaget har processen ett flertal integritetshöjande åtgärder. Den digitala bild från bevakningskameran som används för att ta fram ett grupp-ID raderas, enligt bolaget, efter 1–2 millisekunder och det är enligt bolaget omöjligt att para ihop en fysisk person som besökt butiken med ett tilldelat grupp-ID. Sannolikheten att en återkommande besökare tilldelas samma grupp-ID uppgår enligt bolaget till 50 procent.
Utöver uppgifter om kunders rörelsemönster använder sig biträdet av information om klassificering av kameror som görs efter deras placering vid exempelvis entré, kassa eller klädavdelning, tidsintervall som används vid tilldelning av grupp-ID såsom morgon/lunch/eftermiddag, uppgifter om besökare som framkommit vid analys av anonymiserad data såsom totalt antal besök, besöksfrekvens, besöksvaraktighet, information om objekt såsom hylla och produkt, automatisk klassificering utifrån bildströmmar av anonyma kategorier av besökares fysiska egenskaper såsom man/kvinna och åldersspann, aggregerad anonym data om besökare från flera butiker i takt med att sådan har samlats in.
Personuppgiftsbehandling
Bolaget har uppgett att den personuppgiftsbehandling som kommer att ske vid användning av tekniken består i att bilder på butikens besökare analyseras för att tilldela besökare ett grupp-ID och att den resterande analysen av kamerornas bildmaterial är anonym. Enligt bolaget kommer ingen övrig personuppgiftsbehandling att ske. Den rättsliga grunden för den tilltänkta behandlingen är en intresseavvägning enligt GDPR artikel 6.1(f).
Bolaget har, enligt Datainspektionens uppfattning, uppgett att det finns tre olika risker för fysiska personers fri- och rättigheter kopplade till den tilltänkta behandlingen. Dessa risker består i:
- att biträdets analysverktyg inte innebär att personuppgifterna är anonymiserade och att analysen som sker för att ta fram statistik kan kopplas till enskilda personer,
- att de registrerade inte får tillräcklig information om kamerabevakningen och personuppgiftsbehandlingen, och
- att biträdets analysverktyg i den till butiken tillhörande egna servern innebär en säkerhetsrisk.
Datainspektionens yttrande med skriftliga råd
Risker för registrerades fri- och rättigheter
Datainspektionen upplyser inledningsvis bolaget om att Datainspektionen inom ramen för förhandssamrådet inte yttrar sig om huruvida bolagets integritetshöjande åtgärder innebär att det uppnår en faktisk anonymisering av personuppgifterna i någon del av behandlingen.
För det fall bolaget gjort en felbedömning och det går att koppla grupp-ID till en fysisk person finns det en risk för att registrerade utsätts för omfattande kartläggning och profilering. Sådan behandling skulle leda till att särskilda kategorier av personuppgifter behandlas utan rättsligt stöd samt att personuppgifterna skulle kunna användas för automatiserat beslutsfattande baserat på människors finansiella profiler. Sådan behandling skulle innebära intrång i de registrerades fri- och rättigheter.
Datainspektionen anser att bolaget kan genomföra den planerade personuppgiftsbehandling inom ramen för en intresseavvägning enligt GDPR artikel 6.1(f) eftersom bolaget har vidtagit ett flertal integritetshöjande åtgärder som förhindrar att all form av analys kopplas till de registrerade. Datainspektionen tillägger dock att bolagets intresse av personuppgiftsbehandlingen är relativt svagt. För att bolagets personuppgiftsbehandling ska vara tillåten krävs att behandlingen endast sker för de angivna ändamålen, att behandlingen inte möjliggör identifiering av enskilda samt att de integritetshöjande åtgärderna faktiskt vidtas.
Information till de registrerade
Av GDPR artikel 13 framgår vilken information som ska tillhandahållas om personuppgifter samlas in från den registrerade. Av GDPR artikel 12 framgår hur den personuppgiftsansvarige ska tillhandahålla informationen. För att uppfylla kraven i GDPR ska information tillhandahållas i en koncis, klar och tydlig, begriplig och lätt tillgänglig form.
För att uppfylla kraven i GDPR kan informationen lämnas i olika lager. Det första lagret kan exempelvis utgöra en skylt. Information på en webbplats eller information i en broschyr kan utgöra det andra lagret av information. Den viktigaste information bör generellt ges i det första lagret. Datainspektionen anser att det är av stor vikt att bolaget följer relevanta riktlinjer från EDPB om vilken information som ska lämnas och om hur bolaget ska tillhandahålla informationen till de registrerade.
Datainspektionens råd till bolaget är att placera en skylt i ögonhöjd intill ingången till butiken så att de registrerade kan få informationen innan de går in på det bevakade området. Av skylten bör bl a tydligt framgå att besökarnas ansikten kommer att analyseras för att sedan kategoriseras för givna ändamål samt en tydlig redogörelse för de registrerades rättigheter, däribland hur de registrerade kan invända mot behandlingen enligt GDPR artikel 21.
Installation på lokalserver (säkerhetsrisk)
Av bolagets information till Datainspektionen framgår att det finns en säkerhetsrisk i samband med personuppgiftsbehandlingen. En säkerhetskonsult till biträdet har uttryckt att det kan uppstå brister när biträdets installerar sin tjänst hos den personuppgiftsansvarige. Bolaget menar även att det alltid uppstår någon form av informationssäkerhetsrisk när flera olika leverantörers system behöver integreras och ingen leverantör har ett helhetsansvar.
Datainspektionens inställning är att bolaget självt rimligtvis bör bedöma sina egna säkerhetsrutiner, snarare än att hänvisa till en utvärdering gjord för biträdets räkning. Datainspektionen hänvisar även till GDPR artikel 28. Av GDPR artikel 28 framgår att personuppgiftsansvariga enbart får anlita biträden som ger tillräckliga garantier om att genomföra lämpliga tekniska och organisatoriska åtgärder på ett sådant sätt att behandlingen uppfyller kraven i GDPR och säkerställer att den registrerades rättigheter skyddas.
Datainspektionen rekommenderar bolaget att så långt det är möjligt reglera eventuella oklarheter avseende ansvarsfördelning gällande säkerhetsrisker mellan bolaget och biträdet.
Avslutande kommentar
Det är intressant att notera hur begränsad den planerade personuppgiftsbehandlingen är. Den enda planerade personuppgiftsbehandlingen består i att tilldela butikens besökare ett anonymiserat grupp-ID. Datainspektionen uttrycker att om personuppgiftsbehandlingen är mer omfattande än så är risken hög att behandlingen sker i strid med GDPR.
Förhandssamrådet utgör även en bra påminnelse om vilken information som måste lämnas till den registrerade, och hur denna information ska lämnas, vid kamerabevakning samt vid personuppgiftsbehandling. Slutligen påminner Datainspektionen om att den personuppgiftsansvarige har en skyldighet att granska biträden innan dessa anlitas samt att eventuella oklarheter avseende ansvarsfördelning gällande säkerhetsrisker mellan bolaget och biträdet bör regleras i avtal.