REU, Alm.del - 2022-23 (2. samling) - Endeligt svar på spørgsmål 1222: Spm. om, i hvilke situationer og hvilke danske myndigheder eller private aktører, der i dag anvender ansigtsgenkendelsesteknologi

Retsudvalget 2022-23 (2. samling)
REU Alm.del
Offentligt

Tilladelse til behandling af biometriske data ved

brug af automatisk ansigtsgenkendelse ved ind-

gange på Brøndby Stadion

Dato: 24-05-2019

Tilladelse

Private virksomheder

Datatilsynet meddeler – efter at sagen har været forelagt Datarådet –

Brøndbyernes I.F. Fodbold A/S tilladelse til behandling af biometriske data i

medfør af databeskyttelseslovens § 7, stk. 4, adgangskontrol ved brug af

automatisk ansigtsgenkendelse.

Ovenstående behandling indebærer behandling af personoplysninger omfattet af

databeskyttelsesforordningens[1] artikel 9, stk. 1. I medfør af forordningens artikel 9, stk. 2, litra g,

gælder forbuddet mod behandling af følsomme oplysninger ikke, såfremt behandlingen er

nødvendig af hensyn til væsentlige samfundsinteresser. I medfør af databeskyttelseslovens[2] § 7,

stk. 4, skal Datatilsynet give tilladelse til en sådan behandling, når den ikke foretages for en offentlig

myndighed.

Datatilsynet meddeler – efter at sagen har været forelagt Datarådet – hermed Brøndbyernes I.F.

Fodbold A/S

TILLADELSE

til behandling af biometriske data i medfør af databeskyttelseslovens § 7, stk. 4,

adgangskontrol ved brug af automatisk ansigtsgenkendelse

Tilladelsen til behandling af biometriske data med det formål entydigt at identificere en fysisk

person, ved brug af automatisk ansigtsgenkendelse, gives på følgende vilkår:

1. Tilladelsen gælder ved afvikling af fodboldlandskampe, fodboldkampe, herunder

træningskampe med deltagelse af hold fra superligaen, 1. og 2. division samt ved

fodboldkampe i UEFA-regi på Brøndby Stadion.

2. Meddelelse af karantæne skal ske på et sagligt og proportionalt grundlag i forhold til

overtrædelse af ordensreglementet for Brøndby IF og Superligaen.

REU, Alm.del - 2022-23 (2. samling) - Endeligt svar på spørgsmål 1222: Spm. om, i hvilke situationer og hvilke danske myndigheder eller private aktører, der i dag anvender ansigtsgenkendelsesteknologi

3. Personoplysninger, der behandles som led i ansigtsgenkendelsessystemet, der ikke resulterer i

et match med oplysninger fra Brøndby IF’s interne karantæneliste, må ikke lagres.

4. Personoplysninger, der behandles som led i ansigtsgenkendelsessystemet, der resulterer i et

match med oplysninger fra Brøndby IF’s interne karantæneliste, skal slettes umiddelbart efter

enhver kamp på Brøndby Stadion

5. Brøndby IF skal iagttage oplysningspligten ved indsamling af personoplysninger. Brøndby IF

skal desuden ved skiltning eller på anden tydelig måde give oplysning om, at der foretages

adgangskontrol, herunder behandling af biometriske data ved brug af et automatisk

ansigtsgenkendelsessystem.

6. Personoplysninger, der behandles som led i ansigtsgenkendelsessystemet skal transporteres til

og opbevares krypteret på serveren med ajourførte og bredt anerkendte

krypteringsalgoritmer.

7. Overvågningskameraerne skal installeres på et separat VLAN og må ikke være eksponeret mod

internettet.

8. Brøndby IF skal føre adgangskontrol med ansigtsgenkendelsessystemet, herunder

- autorisation af medarbejdere til betjening af ansigtsgenkendelsessoftwaren og logning af

manuelle opslag i systemet,

- anvendelse af to-faktor-godkendelse i log-in processen.

9. Eventuelle ændringer i de forhold, der er omfattet af ansøgningen, skal meddeles Datatilsynet.

Ovenstående vilkår gælder indtil videre. Datatilsynet forbeholder sig ret til, at tage vilkår op til

revision, hvis der skulle vise sig behov for det.

Ovenstående vilkår er supplerende og præciserende i forhold til reglerne i

databeskyttelsesforordningen og databeskyttelsesloven. Det skal understreges, at de

databeskyttelsesretlige regler således finder anvendelse i det omfang, at der er tale om forhold, som

ikke er reguleret i de ovenstående vilkår.

Datatilsynet må endvidere forbeholde sig sin stillingtagen i tilfælde af en eventuel klagesag.

[1] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af

fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne

oplysninger og om ophævelse af direktiv 95/46/EF

[2] Lov nr. 502 af 23. maj 2018 om supplerende bestemmelser til forordning om beskyttelse af

fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne

oplysninger (databeskyttelsesloven)