Hoppa till huvudinnehållet

DPIA-vägledning: Kvalitetssäkring

Fredrik Amréus Hammargården
Uppdaterad

Inledning

Denna guide är utformad för att hjälpa organisationer att förstå och utvärdera dataskyddsaspekterna av att använda Indivds kvalitetssäkringstjänst (QA) för besöksräkning. Enligt GDPR kan en konsekvensbedömning avseende dataskydd (DPIA) vara rekommenderad om behandling, även om den är begränsad, kan påverka enskilda personers rättigheter och friheter. Den här guiden stöder sådana bedömningar.

Indivds QA-tjänst är valfri och kan användas för att verifiera den statistiska trovärdigheten i Indivds automatiserade besöksräkning. Kunder kan alternativt välja att utföra QA själv med hjälp av Indivds verktyg och infrastruktur. Den här guiden återspeglar dokumenterad praxis och inbyggda kontroller för integritetsskydd.

Guiden bygger på dokumenterad erfarenhet från tidigare DPIAs, den är inte juridisk rådgivning utan ett praktiskt verktyg för att stödja din DPIA-process. För frågor eller mer omfattande dokumentation, vänligen kontakta privacy@indivd.com.
 

1. Varför och när ska en DPIA genomföras?

Även om QA-processen inte omfattar storskalig eller kontinuerlig övervakning, behandlar den tillfälligt personuppgifter (bilddata) och kan därför dra nytta av DPIA-dokumentation enligt artikel 35 i GDPR. Integritetsskyddsmyndigheten rekommenderar DPIA:er för sådana gränsfall som en försiktighetsåtgärd, även om det inte är uppenbart att det föreligger en hög risk.

Denna tjänst kan anses utgöra en låg risk för enskildas rättigheter och friheter (tidigare genomförda DPIAor). I sådana fall krävs inte en DPIA enligt lag, och inget föregående samråd med tillsynsmyndigheten är nödvändigt. Att dokumentera en DPIA är dock god praxis för att stödja transparens och ansvarsskyldighet.

Kvalitetssäkring aktiveras endast på kundens begäran och kontrolleras helt av kunden när det gäller tidpunkt, omfattning och datavolym. Den utförs inte i realtid, och all databehandling är begränsad och ändamålsspecifik.

  • OBS: Kvalitetssäkringsprocessen bygger på den rättsliga grunden berättigat intresse (artikel 6.1 f i GDPR). Ingen profilering, biometrisk analys eller kontinuerlig övervakning utförs. Alla uppgifter raderas automatiskt inom ett strikt 48-timmarsfönster.

En tidigare genomförd DPIA för denna behandlingsaktivitet bifogas i slutet av denna guide för att stödja transparens, ansvarsskyldighet och underlätta din egen bedömning.
 

2. Förståelse av bearbetningsaktiviteten

Indivds process för kvalitetssäkring (QA) omfattar tillfällig insamling, lagring och granskning av bilddata. Dessa data stöder validering och kalibrering av automatiserade system för besöksräkning. All manuell granskning utförs på helkroppsmaskerade videofragment, inte råvideo. Råinspelningar lagras endast för kortvarig automatisk bearbetning, t.ex. under kalibrering, och är aldrig tillgängliga för någon människa.

Masked video QA.png

Bild: Under QA-processen räknar QA-analytikerna antalet gånger som en ruta (dvs. en maskerad person) korsar de gröna linjerna.

Översikt över processen:

  1. Kunderna planerar QA-sessioner och definierar omfattningen (plats, tid och urvalsstorlek)
  2. Ögonblicksbilder tas utanför öppettiderna för att definiera mätlinjer
  3. Korta videoinspelningar spelas in och krypteras
  4. Rå video lagras i högst 48 timmar för automatisk systembearbetning
  5. Maskerade (helkropps-) videofragment granskas en gång av Indivds QA-analytiker
  6. Alla maskerade (helkropps-) fragment raderas automatiskt permanent efter granskning

Vilka uppgifter samlar vi in (i upp till 48 timmar):

  1. Råa videoinspelningar: Används uteslutande för omedelbar omarbetning till helkroppsmaskerade videofragment. De råa videoinspelningarna är inte tillgängliga för någon enskild person
  2. Maskerade (helkropps-) videofragment: Granskas av QA-analytiker för verifiering av trovärdighet. Dessa visas en gång och raderas automatiskt efter att QA-analytikern har räknat linjekorsningar manuellt.
  3. Statistiska aggregat: Anonym aggregerad statitistik data räknas fram och sammanställs i en rapport. Datan består av en siffra på totala antal besökare som gått över en mätlinje enligt både automatisk och manuell räkning. Denna statistik gör att vi kan räkna fram träffsäkerheten i den automatiska räkningen och verifiera att systemet fungerar som det ska.

Skyddsåtgärder:

  • Rå video krypteras och lagras endast inom EU-baserad infrastruktur (GleSYS AB, Sverige)
  • Endast maskerade (helkropps-) fragment används för manuell QA-granskning
  • Varken kunder eller analytiker har tillgång till råinspelningar
  • Alla data raderas automatiskt efter bearbetning och granskning

Inte insamlad eller bevarad:

  • Ansiktsigenkänning eller biometriska identifierare
  • Uppgifter om särskilda kategorier (t.ex. ålder, etnicitet, trosuppfattning)
  • Övervakning i realtid eller direktspårning
  • Beständiga identifierare eller någon länk till enskilda besökare

Dessa begränsningar upprätthålls tekniskt genom systemdesign och privacy-by-default-principer. Det är inte tekniskt möjligt att utföra ansiktsigenkänning eller identifiera individer genom kvalitetssäkringsprocessen.
 

3. Vad systemet används till

QA-processen validerar att systemet för besöksräkning fungerar som avsett. Den hjälper till att bekräfta den statistiska tillförlitligheten hos automatiserade insikter och stöder finjustering av systeminställningar (t.ex. mätlinjer). Målgruppsuppskattningar, när så är tillämpligt, härleds matematiskt från validerad gruppstatistik, inte manuellt bedömda.

Syfte: För att säkerställa att behandlingsändamålen för den huvudsakliga behandlingsaktiviteten uppnås måste datakvaliteten säkerställas. Kvalitetssäkringstjänster uppfyller ett sådant syfte.

4. Din roll och ditt ansvar

Som kund är du personuppgiftsansvarig. Indivd agerar som personuppgiftsbiträde. Beslut om och när kvalitetssäkringen ska inledas, fastställande av parametrar (omfattning, plats, urvalsstorlek) och säkerställande av lämplig skyltning och information för besökare. Detaljerade skyldigheter och skyddsåtgärder för personuppgiftsbiträdet anges i Indivds personuppgiftsbiträdesavtal (DPA), som reglerar alla relationer med tredje parts personuppgiftsbiträden.

Tredjepartsbehandlare (inom EU):

  1. GleSYS AB (Sverige): Infrastruktur.
  2. DigitalOcean EU B.V. (Tyskland): Plattform för datalagring.
     

5. Öppenhet och information till besökarna

Tydliga skyltar måste sättas upp vid alla ingångar där kameror används för besöksräkning och kvalitetssäkring. Dessa kan integreras med befintlig säkerhetsskyltning och kompletteras med broschyrer, QR-koder eller webblänkar till ett integritetsmeddelande. I enlighet med artikel 13 i GDPR och EDPB:s vägledning om videoövervakning är det viktigt med skiktad transparens för att säkerställa att besökarna får tillräcklig information.

Besökare betraktas som registrerade men rådfrågas inte direkt, och förhållandet är begränsat till närvaro i butiken. Med tanke på den korta lagringstiden för uppgifter (vanligtvis mindre än 48 timmar) är det osannolikt att de registrerades rättigheter, t.ex. tillgång, invändning eller radering, kommer att kunna utövas i praktiken.

  • Rekommendation: Använd Indivds exempel på integritetsskyltar och säkerställ efterlevnad av artikel 13 i GDPR och EDPB:s vägledning om videobearbetning. Dessa resurser finns nedan.
     

6. Intern kommunikation och fackligt engagemang

Även om kvalitetssäkringen inte kan identifiera enskilda personer, säkerställer intern kommunikation transparens. Om tillämpligt bör fackliga företrädare eller arbetstagarrepresentanter rådfrågas innan QA implementeras. Detta bidrar till att bygga upp förtroende och förebygga missförstånd.
 

7. Etiska och juridiska kvarstående risker och riskreducerande åtgärder

Utöver teknisk efterlevnad är etiska överväganden avgörande för ansvarsfull databehandling. Även när data är maskerade (helkroppsdata) kan uppfattningen om och sammanhanget för dataanvändning påverka allmänhetens förtroende. I detta avsnitt beskrivs kvarstående etiska och juridiska risker och hur de minskas genom Indivds inbyggda integritetsarkitektur, tekniska skyddsåtgärder och transparenta kommunikation.

Kvarstående etiska risker:

  • Risk för återidentifiering: Risk för återidentifiering: Begränsas genom strikt helkroppsmaskering, kryptering, rollbaserad åtkomst och automatisk radering efter engångsgranskning. Rå video ses aldrig av enskilda personer och sparas endast för automatisk systembehandling.
  • Missförstånd om syftet med kvalitetssäkringen: Åtgärdas med skyltning i flera lager och tydlig sekretessinformation.
  • Stående åtkomst: Förhindras genom loggning av åtkomst, rollseparering och radering inom 48 timmar.
  • Funktionstillväxt (Function creep): Förhindras genom strikt tidsbegränsad användning, ingen återanvändning av data och separation mellan QA- och produktionssystem.

Kontroller på plats:

  • Data behandlas endast i säkra EU-miljöer
  • Kvalitetssäkringen är strikt retrospektiv, aldrig i realtid
  • Alla uppgifter raderas automatiskt efter användning
  • Inga personuppgifter exporteras eller kopplas till någon beständig identifierare

Identifierade etiska och juridiska risker och åtgärder för att minska dem: 

  1. Risk för kränkning av privatlivet
    Risk: Känslig eller påträngande datainsamling kan kränka den personliga integriteten genom observation utan samtycke.
    Begränsning: Endast maskerad data (helkropp) är någonsin åtkomlig för QA-analytiker. Rå video krypteras och bearbetas automatiskt, och ses aldrig av människor. Tydlig information gör det möjligt för besökare att förstå eller undvika behandlingen.
     
  2. Säkerhetsrisk
    Risk: Obehörig åtkomst eller dataintrång kan äventyra sekretessen för enskilda personers uppgifter.
    Begränsning: Data lagras inom säker EU-baserad infrastruktur. Kryptering, åtkomstkontroll och loggning tillämpas. Data raderas automatiskt inom 48 timmar. Endast maskerade data (med helkroppsmasker) kan ses av QA-analytikerna.
     
  3. Risk för bristande rättvisa
    Risk: Övervakning kan uppfattas som påträngande eller diskriminerande, vilket kan påverka individens självbestämmande.
    Begränsning: QA-processen kan inte identifiera individer. Inga beständiga identifierare används och data maskeras (helkropp) före granskning. Inga demografiska egenskaper (ålder/genus/etnicitet) är tillgängliga för granskarna. Den enda effekten av systemet är att generera ett totalantal personer som passerar en linje för jämförelse med det totalantal som genereras av det automatiska räkningssystemet.
     
  4. Risk för bristande transparens
    Risk: Otillräcklig kommunikation om AI-behandling kan begränsa individens medvetenhet och kontroll.
    Begränsning: Tydlig information och dokumentation i enlighet med GDPR tillhandahålls, vilket förklarar den ändamålsbegränsade kvalitetssäkringen, helkroppsmaskeringen och 48-timmars radering.
     
  5. Styrningsrisk - efterlevnad av AI-läskunnighet
    Risk: Om AI-funktionaliteten inte kommuniceras på ett tydligt sätt kan det påverka efterlevnaden av lagar och regler och allmänhetens förtroende.
    Begränsning: Indivd tillhandahåller tydlig information och dokumentation i linje med GDPR och EDPB:s videovägledning. Kvalitetssäkringen beskrivs som tidsbegränsad, anonym och icke-påträngande.
     
  6. Upplevd risk för biometrisk kategorisering
    Risk: Uppskattning av egenskaper genom maskerade data kan ge upphov till en rädsla om profilering.
    Begränsning: Inga ansiktsdrag eller biometriska identifierare används i kvalitetssäkringsprocessen. Personer på kamerorna maskeras omedelbart av de automatiserade QA-systemen innan de visas för QA-analytikerna för ytterligare integritetsskydd.
     

8. AI-lagen - Bedömning av förbjudna användningsfall

Indivds kvalitetssäkringsprocess har utvärderats mot artikel 5 i EU:s lag om artificiell intelligens, som beskriver metoder som uttryckligen är förbjudna på grund av deras risk för grundläggande rättigheter. Kvalitetssäkringsprocessen faller inte inom någon av de förbjudna kategorier som definieras i lagen. I synnerhet:

  • Biometrisk kategorisering: Ej tillämpligt. Kvalitetssäkringsprocessen omfattar inte klassificering av individer baserat på känsliga attribut som ras, etnicitet, religion, politisk åsikt eller sexuell läggning. Inga biometriska egenskaper behandlas eller används under kvalitetssäkringen.
     
  • Övervakning av arbetstagare: Ej tillämpligt. QA-processen används endast för att validera att systemet för besöksräkning är korrekt. Den omfattar inte övervakning av anställdas beteende eller aktiviteter. Processen är begränsad i tid, använder maskerade data (helkropp) och är helt retrospektiv.
     
  • Manipulation av mänskligt beteende: Ej tillämpligt. Kvalitetssäkring är ett passivt verifieringssteg utan interaktion, återkoppling eller påverkan på individers beslut eller beteenden. Det tjänar enbart till att bekräfta teknisk trovärdighet.
     
  • Utnyttjande av sårbara individer: Ej tillämpligt. Systemet utnyttjar inte eller anpassar inte sitt beteende baserat på individuella egenskaper som ålder, funktionshinder eller socioekonomisk status. Kvalitetssäkringen är statistisk och teknisk, utan bearbetning på individnivå.
     
  • Social poängsättning: Inga uppgifter som används i kvalitetssäkringen kan kopplas till enskildas beteenden eller egenskaper som påverkar deras anseende. Kvalitetssäkringen genererar maskerade (helkropps), valideringsmått på en aggregerad nivå, inte poäng eller profiler.
     
  • Biometrisk identifiering på offentliga platser: Ej tillämpligt. Kvalitetssäkringen omfattar inte identifiering av individer på något vis, vare sig offentligt eller privat. Inga biometriska identifierare samlas in, lagras eller bearbetas.
     
  • Databas för ansiktsigenkänning eller skrapning: Ej tillämpligt. QA-processen bygger inte upp eller får inte tillgång till någon databas för ansiktsigenkänning. Individer i videodata maskeras (helkropp) innan någon mänsklig granskning, och rå video är inte tillgänglig för ansiktsanalys.
     
  • Känsloigenkänning: Ej tillämpligt. Inga känslotillstånd tolkas, analyseras eller härleds i något skede av kvalitetssäkringsprocessen.

Indivds kvalitetssäkringsmetod är utformad i enlighet med principerna om inbyggd integritet och dataminimering. Systemet uppfyller inte de tekniska, operativa eller juridiska definitionerna av något förbjudet AI-användningsfall enligt artikel 5 i AI-lagen. Det fungerar strikt inom ramen för statistisk systemvalidering, utan personlig påverkan eller konsekvenser för mänskliga rättigheter. 

9. Rekommenderade åtgärder

För att slutföra din DPIA:

  • Granska din bedömning av berättigat intresse
  • Bekräfta intern kommunikation och extern skyltning
  • Använd intern dokumentation för att stödja registerhållning och efterlevnad
  • Schemalägg QA endast när det behövs, och dokumentera varje session
  • Behåll sammanfattningar av QA-resultat för revision och insiktsförtroende

 

Relaterade artiklar

Powered by Zendesk