Hoppa till huvudinnehållet

DPIA-vägledning: Besöksräkning

Fredrik Amréus Hammargården
Uppdaterad

Inledning

Denna guide är utformad för att hjälpa organisationer att förstå och utvärdera dataskyddsaspekterna av att använda Indivds tjänst för Besöksräkning.

All besöksräkning (2D-kameror, 3D-kameror/sensorer) utgör storskalig behandling av personuppgifter (eftersom alla dessa system använder sig av bilddata), och därför krävs alltid en DPIA innan sådana system tas i bruk, i enlighet med artikel 35 i GDPR.

Denna guide går igenom de relevanta stegen i en DPIA, med stöd av dokumentation från en tidigare genomförd bedömningar (DPIA) och ett positivt förhandssamråd med Integritetsskyddsmyndigheten (IMY). Den är avsedd att stödja din förståelse av behandlingen och hjälpa dig att uppfylla dina skyldigheter som personuppgiftsansvarig.

Denna guide är inte juridisk rådgivning utan ett praktiskt verktyg för att stödja din DPIA-process. För frågor eller mer omfattande dokumentation, vänligen kontakta privacy@indivd.com.

Se de bifogade dokumenten i slutet av denna artikel för ytterligare vägledning.

 

1. Varför och när ska man göra en konsekvensbedömning?

En DPIA krävs för behandlingar som innebär storskalig övervakning av allmänt tillgängliga områden eller användning av innovativ teknik, särskilt när det rör sig om bilddata. Indivds tjänst bearbetar video från kameror och anonymiserar omedelbart data med hjälp av en patenterad metod.

Trots dessa skyddsåtgärder innebär övervakningens omfattning och karaktär att en konsekvensbedömning är obligatorisk för all användning av teknik för besöksräkning.

  • OBS: Svenska Integritetsskyddsmyndigheten bekräftade under förhandssamrådet att behandlingen, med de särskilda genomförande- och skyddsåtgärder som presenterats, kan grunda sig på berättigat intresse (artikel 6.1 f i GDPR). Varje personuppgiftsansvarig är dock fortfarande ansvarig för att genomföra sin egen bedömning av berättigat intresse och säkerställa fullständig implementering av nödvändiga tekniska och organisatoriska åtgärder. Denna guide ersätter inte detta ansvar.

2. Förståelse av behandlingsaktiviteten

Indivds tjänst för besöksräkning använder video från exempelvis butiksentréer, tillämpar en patenterad anonymiseringsteknik och raderar de ursprungliga bilddata inom några millisekunder.

Anonymiseringsprocessen omvandlar bilddata till anonymiserad statistik på gruppnivå. Även om detta avsevärt minimerar integritetsriskerna måste det noteras att klassificeringen av data som "anonymiserade" enligt GDPR beror på sammanhanget. Enligt skäl 26 i GDPR är uppgifter endast verkligt anonymiserade om det inte är rimligt sannolikt att de kan återidentifieras, även genom användning av externa uppgifter. Därför används termen "anonym" för att beskriva uppgifter som är tekniskt och procedurmässigt skyddade mot identifiering, samtidigt som det erkänns att dess status alltid måste bedömas i sitt sammanhang enligt tillämplig lag.

Bearbetning av arbetsflöde:

Inga personuppgifter eller uppgifter av särskild kategori lagras eller bevaras.

  1. Video spelas in från kameror i butiken.
  2. Data krypteras och överförs till en lokal bearbetningsinstans.
  3. Anonymisering sker i realtid (grupp-ID).
  4. Bilddata raderas inom 1-3 millisekunder.
  5. Anonymiserad statistik överförs på ett säkert sätt och används för insikter.

Vilka uppgifter vi samlar in:

All data anonymiseras omedelbart. Inga personuppgifter lagras. Anonymiserade uppgifter sparas i upp till 3 timmar enbart för statistisk sammanställning. När datan samlas in styrs av kunden själv i Indivds plattform för varje enskild lokal.

  1. Räkning av data: Antal personer som kör in i/ut ur/passerar zoner.
  2. Data om rörelsetrender: Mönster för anonymiserade besökarflöden per timme.

Vad vi inte samlar in:

Inga personuppgifter lagras eller bevaras någonsin: Bilddata i råformat raderas innan de kan sparas på disk, vilket säkerställer att de aldrig kommer i kontakt med en hårddisk eller permanent lagring.

Inga uppgifter av särskild kategori behandlas: Vårt system kan inte identifiera hälsostatus, etnicitet, trosuppfattning eller biometriska egenskaper.

Inga biometriska data bearbetas: Ansiktsdrag analyseras eller sparas inte. Vår upplösning är för låg (60-100 ppm) och anonymiseringsmetoden förhindrar all ansiktsigenkänning.

Ingen ansiktsigenkänning eller identifiering är möjlig: Tilldelningen av grupp-ID är slumpmässig och icke-deterministisk. Det är matematiskt och tekniskt omöjligt att spåra individer.

Ingen spårning av specifika individer eller grupper: Systemet har inga identifierare eller attribut för att särskilja individer, vilket innebär att grupper som barn eller anställda inte kan isoleras eller följas.

Dessa begränsningar är inte bara policybeslut, utan de upprätthålls av systemets design, tekniska begränsningar och anonymiseringsmetoder. Därför är det tekniskt omöjligt för systemet att samla in eller lagra sådana data.

3. Vad systemet används till

De anonymiserade uppgifterna används enbart av kunden för att förstå besöksmönster, förbättra butikslayouter och jämföra prestanda mellan olika platser. Detta är samma syften som presenterades och godkändes under det föregående samrådet med Integritetsskyddsmyndigheten. Varje ändring eller utvidgning av dessa syften bör kräva förhandsgodkännande och återspeglas i DPIA.

Användningsområden:

  1. Förstå hur olika objekt i butiksmiljön (hyllor, gångar, inredning, entré, skyltning, belysning etc.) drar till sig intresse (uppmärksamhet, integrerar med, leder till konvertering) från besökare för att kunna göra förändringar som leder till att butiksmiljön blir mer effektiv och relevant för alla besökare.

  2. Förstå var och när köer bildas (t.ex. kassor, omklädningsrum, toaletter, kundtjänstdiskar) för att kunna göra förändringar som leder till en effektivisering av butiksdriften och minimering av köbildningar.

  3. Förstå hur besöksflödena sker för att kunna göra förändringar som leder till en effektivisering av kundflödena i butiken.

  4. Effektivisera den interna driften genom att förstå besöksflöden och därefter anpassa bemanningen på olika platser/avdelningar i butiken.

  5. Förstå hur besökarna navigerar i butikens planerade besöksresesvängar (dvs. vilka vägar besökarna går i butiken) för att kunna genomföra förändringar som leder till ökad effektivitet och relevans i besöksresan.

  6. Möjliggöra tydligare jämförelser och därmed förstå skillnader mellan olika butiker, t.ex. påverkan av våra butiksmiljöer, köbildning, besöksflöden, attraktion av föremål, besökarnas navigering i butikernas planerade besöksresor etc. för att lära oss om skillnaderna och göra förändringar som leder till en effektivisering av vår organisations totala verksamhet. Vi kan till exempel göra två separata investeringar i två butiker med liknande förutsättningar. I den ena butiken satsar vi på utbildning av personalen och i den andra butiken investerar vi i en ny butiksinredning. Om resultatet av en sådan studie skulle visa att det är mer gynnsamt att ge personalen mer utbildning, kan det leda till att vi omstrukturerar våra investeringar och ökar effektiviteten i organisationens totala verksamhet.

  7. Möjliggöra tydligare jämförelser och därigenom förstå skillnader mellan olika butiker, t.ex. påverkan av våra butiksmiljöer, köbildning, besöksflöden, attraktion av föremål, besökarnas "navigering i butikerna" planerade kundomsättningar etc. för att effektivisera/anpassa planerade etableringar, inklusive att identifiera nya städer/områden för etablering.

  8. Möjliggöra tydligare jämförelser och därmed förstå skillnader mellan våra butiker och andra butiker över tid, t.ex. avseende påverkan av butiksmiljöer, attraktion av föremål, köbildning, besöksflöden, besökares 'navigering i butikerna', planerade besöksresor etc. för att få och prova nya idéer och erbjudanden, t.ex. genom att introducera en yogastudio eller löparklubb för att öka innovationskraften och stärka vår konkurrenskraft. Exempelvis kan insikter om att en stor andel av besökarna attraheras av (uppmärksammar, interagerar med) sportprodukter leda till att vi tillfälligt försöker lansera en löparklubb i butiken. En återkommande aktivitet i butiken skulle kunna leda till att besökare samlas för att springa och diskutera löpning för att på så sätt stärka butikens varumärke gentemot den målgruppen. Med en ökad förståelse för skillnader skulle objektens attraktivitet, besöksflöden etc. kunna leda till en ökad förståelse för investeringens lönsamhet om (i) fler besökare besöker oss (ii) nya målgrupper besöker oss (iii) det leder till ökad attraktivitet för andra produkter (iii) vi har en ökad besöksfrekvens och en ökad attraktivitet i förhållande till benchmarkdata, vilket i sig leder till ökad konkurrenskraft.

4. Din roll och ditt ansvar

Som kund är du personuppgiftsansvarig. Indivd agerar som personuppgiftsbiträde. Du är ansvarig för att säkerställa lämpliga åtgärder för skyltning och transparens (GDPR artikel 13). Detaljerade skyldigheter och skyddsåtgärder för personuppgiftsbiträdet anges i Indivds personuppgiftsbiträdesavtal (DPA), som reglerar alla relationer med tredjeparts personuppgiftsbiträden.

Tredje parts personuppgiftsbiträden (inom EU):

  • GleSYS AB (Sverige): Infrastruktur.
  • DigitalOcean EU B.V. (Tyskland): Plattform för datalagring.

5. Öppenhet och information till besökarna

Tydliga skyltar måste sättas upp vid alla ingångar. Dessa kan integreras med befintlig säkerhetsskyltning och kompletteras med broschyrer, QR-koder eller webblänkar. I enlighet med artikel 13 i GDPR och EDPB:s vägledning om videoövervakning är det viktigt med skiktad transparens.

Även med stark anonymisering kan upplevd övervakning väcka etiska frågor och påverka allmänhetens förtroende. Därför bör offentlig kommunikation tydligt förklara vad uppgifterna används till, hur de anonymiseras och hur enskilda personers rättigheter respekteras. Detta omfattar lättillgängliga integritetsmeddelanden, ett begripligt språk för icke-tekniska målgrupper och kontaktuppgifter för frågor om dataskydd.

  1. Rekommendation: Använd Indivds skyltexempel och säkerställ efterlevnad av artikel 13 i GDPR och EDPB:s videovägledning. Dessa listas nedan i denna artikel.

6. Intern kommunikation och fackligt engagemang

För system som rör arbetsmiljön är det viktigt att hantera den interna transparensen och se till att de anställda förstår systemets syfte och begränsningar. Eftersom systemet inte kan skilja mellan individer är det inte tekniskt eller operativt möjligt att övervaka de anställdas beteende.

  • Facklig representation: Om din organisation har facklig representation eller skyddsombud ska du involvera dem tidigt i DPIA-processen och före lanseringen. Detta stärker förtroendet, hjälper till att förebygga missförstånd och visar på ansvarstagande.

Identifierade risker och riskreducerande åtgärder:

  • Mänskliga (Risk: Låg R1-R2): Information kommer att anslås vid varje ingång/utgång och alla dörrar som leder in i butiken från BOH, med tydlig förklaring av systemet och dess syfte. Personalen kommer att informeras om bakgrund, syfte och dataanvändning före lanseringen.
  • Teknik/fysisk arbetsmiljö (Risk: Låg R1-R2): Den strikta anonymiseringsmetoden och den lågupplösta videon säkerställer att inga data kan kopplas till individer eller återskapas.
  • Organisation (Risk: Låg R1-R2): Butiksteamen kommer inte att få tillgång till systemet eller data, vilket eliminerar behovet av operativ utbildning. Istället ges separata informationsgenomgångar.
  • Organisation (Risk: Låg R1-R2): Skyltning och genomgångar säkerställer intern transparens och förhindrar feltolkning av systemets roll och påverkan.

7. Etiska och juridiska kvarstående risker och riskreducerande åtgärder

Utöver teknisk efterlevnad är etiska överväganden avgörande för en ansvarsfull databehandling. Även med anonymisering kan uppfattningen om och sammanhanget för dataanvändning påverka förtroendet och allmänhetens acceptans. I detta avsnitt beskrivs kvarstående etiska och juridiska risker och hur de hanteras genom Indivds tekniska, organisatoriska och kommunikativa åtgärder.

Kvarstående etiska risker:

  • Återidentifiering: Inte möjligt på grund av grupp-ID och databrus.
  • Missförstånd om transparens: Åtgärdas med information om besökare och anställda i flera lager.

Kontroller på plats:

  • Patenterad anonymiseringsmetod.
  • Omedelbar radering av data under transport; personuppgifter lagras aldrig (kommer aldrig i kontakt med en hårddisk).
  • EU-hostad infrastruktur.
  • Fackligt samråd och kommunikation med anställda för arbetsplatsinstallationer.
  • Indivd tillämpar en strikt anonymiseringspolicy som kräver en dokumenterad riskanalys för varje förändring, uppdatering eller förbättring av anonymiseringsmetoden (Function Creep). Detta säkerställer att ingen modifiering kan minska systemets anonymiseringsförmåga. Förändringar som kan påverka anonymiteten måste godkännas av både produktägaren och AI-chefen, medan alla förändringar som minskar anonymiteten är kategoriskt förbjudna.

Identifierade etiska och juridiska risker och åtgärder för att minska dem:

  1. Risk för fördelaktig användning
    Risk: Känslig eller påträngande datainsamling kan skada organisationens rykte.
    Begränsning: Indivd säkerställer att alla personuppgifter anonymiseras i realtid (inom 1-3 millisekunder). Den patenterade anonymiseringsmetoden förhindrar identifiering och behåller endast anonyma data på gruppnivå, vilket minskar integritetspåverkan och förbättrar efterlevnaden av etiska standarder.

  2. Säkerhetsrisk
    Risk: Obehörig åtkomst eller dataintrång kan äventyra sekretessen och förtroendet.
    Begränsning: Ett omfattande säkerhetsramverk finns på plats, inklusive krypterad datalagring, säkra överföringsprotokoll, rollbaserad åtkomstkontroll och regelbundna interna revisioner. Procedurerna för incidenthantering är tydligt definierade i policyn för hantering av dataintrång.

  3. Risk för bristande rättvisa
    Risk: Övervakning av anställda eller enskilda personer kan uppfattas som påträngande eller diskriminerande.
    Begränsning: Indivds plattform är särskilt utformad för att förhindra spårning eller profilering av individer, inklusive anställda. All data anonymiseras och aggregeras, och inga personliga identifierare behålls, vilket förhindrar orättvis eller partisk behandling.

  4. Styrningsrisk - Uppgifter om barn
    Risk: Oavsiktlig insamling av minderårigas uppgifter kan leda till GDPR-överträdelser och skada på anseendet.
    Begränsning: Systemet behandlar eller identifierar inte åldersrelaterade eller biometriska data. Anonymisering säkerställer att individer, inklusive barn, inte kan pekas ut eller spåras. Icke desto mindre måste man se till att undvika oavsiktliga slutsatser om sårbara grupper (t.ex. barn, anställda) från aggregerade mönster. Som en del av din DPIA bör du bedöma om ditt specifika driftsättningssammanhang - t.ex. kameraplacering eller butikstyp - indirekt kan påverka sådana grupper. Detta säkerställer att både etiska och juridiska risker beaktas på lämpligt sätt.

  5. Styrningsrisk - Efterlevnad av AI-kompetens
    Risk: Om AI-funktionaliteten inte kommuniceras på ett tydligt sätt kan det påverka efterlevnaden av lagar och regler och allmänhetens förtroende.
    Begränsning: Indivd följer principerna för AI-etik och kraven på transparens i GDPR genom att tillhandahålla information i flera lager (t.ex. skyltar, broschyrer, digitala meddelanden) och vägledning för allmänheten om hur AI-system fungerar och om individers rättigheter enligt GDPR.

  6. Upplevd risk med biometrisk kategorisering
    Risk: Även om data är anonymiserade kan uppskattningen av egenskaper som kön eller åldersintervall väcka farhågor om härledd biometrisk profilering.
    Begränsning: Indivds anonymiseringsprocess använder gruppbaserade statistiska metoder som inte tillåter unik identifiering. Inga ansiktsdrag lagras eller bearbetas. Tekniken har granskats av Integritetsskyddsmyndigheten i Sverige, som accepterade att systemet inte omfattar biometrisk identifiering enligt definitionen i GDPR.

8. AI-lagen - Bedömning av förbjudna användningsfall

Indivds AI-drivna system har noggrant utvärderats mot artikel 5 i EU:s lag om artificiell intelligens (AI-lagen), som beskriver uttryckligen förbjudna AI-metoder. Nedan finns en tydlig sammanfattning som förklarar varför Indivds teknik är kompatibel och inte faller inom några förbjudna kategorier.

  • Biometrisk kategorisering: Indivd kategoriserar eller klassificerar inte individer baserat på känsliga eller skyddade egenskaper som ras, etnicitet, sexuell läggning eller politisk tillhörighet. När kunder använder tillvalet Target Group Insights aggregeras data endast baserat på icke-känsliga kategorier som ålder och kön, strikt på gruppnivå, och identifierar eller profilerar aldrig individer.

  • Övervakning av arbetstagare: Indivds teknik ger uteslutande insikter om kundbeteende och kundresor under butikens öppettider. Den är inte utformad eller kapabel att övervaka anställda eller samla in data utanför butikstiderna. Den inkräktar således inte på anställdas integritet eller utgör övervakning av anställda.

  • Manipulering av mänskligt beteende: Indivd ger statistiska insikter utan att påverka eller manipulera individuella beslut. Systemet genererar data om kundernas rörelser och interaktion utan att använda tekniker som är utformade för att kontrollera eller förvränga beteendet.
    Utnyttjande av sårbarheter: Indivd utnyttjar inte sårbarheter relaterade till ålder, socioekonomisk status eller andra känsliga attribut. Systemets utdata är rent analytiska och stöder etiska riktlinjer för beslutsfattande som tillhandahålls kunderna.

  • Utnyttjande av sårbara individer: Indivd utnyttjar inte sårbarheter relaterade till ålder, socioekonomisk status eller andra känsliga attribut. Systemets utdata är rent analytiska och stödjer de etiska riktlinjer för beslutsfattande som tillhandahålls kunderna.
  • Social poängsättning: Indivds teknik utvärderar eller klassificerar inte individer eller grupper baserat på socialt beteende eller personliga egenskaper. Den genererar uteslutande beteendeinsikter på gruppnivå som är avsedda att förbättra kundupplevelser i detaljhandelsmiljöer. Det finns ingen mekanism inom systemet för att skapa eller bidra till sociala poängsättningsmetoder.

  • Biometrisk identifiering i offentliga miljöer: Indivds teknik utför inte biometrisk identifiering. All bilddata som fångas upp anonymiseras omedelbart genom en patenterad, irreversibel metod, vilket gör informationen oanvändbar för individuell identifiering. Processen säkerställer efterlevnad av GDPR och AI-lagen genom att inte lagra eller använda biometriska identifierare.

  • Databas för ansiktsigenkänning eller skrapning: Indivd skapar eller utökar inte databaser för ansiktsigenkänning och använder inte heller några skrapningstekniker från onlinekällor eller CCTV-bilder. Insamlade data anonymiseras direkt, aggregeras för statistisk användning och stöder inte ansiktsigenkänning.

  • Känsloigenkänning: Systemet varken analyserar, härleder eller använder data om känslomässiga tillstånd. Mätvärden som samlas in, t.ex. rörelsemönster och uppehållstid, innehåller inga känslomässiga indikatorer eller parametrar.

Indivds AI-system uppfyller inte kriterierna för några förbjudna AI-metoder som definieras i artikel 5 i EU:s AI-lag. Tekniken har avsiktligt utformats kring principer för inbyggd integritet, robust anonymisering, dataminimering och etisk användning, vilket säkerställer laglig, kompatibel och etisk databehandling. För omfattande dokumentation av efterlevnad, vänligen kontakta privacy@indivd.com.

9. Rekommenderade åtgärder

För att slutföra din DPIA:

  • Granska arbetsflödet för behandlingen och datakategorierna.
  • Bekräfta att ändamålen överensstämmer med GDPR-principerna.
  • Använd de mallar som tillhandahålls för att genomföra en bedömning av kvarstående risk.
  • Dokumentera dina resultat och beslutsmotivering.
  • Förbered intern kommunikation och skyltning.
  • Se över DPIA regelbundet.

Relaterade artiklar

Powered by Zendesk