Yleisesti kasvojentunnistuksessa yksilöinti tapahtuu vertaamalla otettuja kuvia tietokannasta löytyviin kuviin, joihin voi olla liitettynä jokin henkilöä yksilöivä tieto. Kasvojentunnistus eroaa perinteisestä kameravalvonnasta erityisesti, koska kyseessä ei ole vain passiivinen tallenne, vaan saatua biometristä dataa verrataan tietokannoissa olevaan dataan ja dataa voidaan myös tehokkaasti päivittää.
Biometriset tiedot luetaan yleisen tietosuoja-asetuksen mukaisesti erityisiin henkilötietoryhmiin kuuluvaksi, sillä siitä voidaan yksiselitteisesti tunnistaa henkilö. Biometriset tiedot ovat yksilön yksityisyyden suojan kannalta erityisen keskeisiä, sillä niitä tietoja ei voida poistaa tai vaihtaa ja ne ovat vahvasti yksilöiviä.
Biometrisillä tiedoilla tarkoitetaankin tietosuoja-aseuksessa kaikkia luonnollisen henkilön fyysisiin ja fysiologisiin ominaisuuksiin tai käyttäytymiseen liittyvällä teknisellä käsittelyllä saatuja henkilötietoja, kuten kasvokuvia tai sormenjälkitietoja, joiden perusteella kyseinen luonnollinen henkilö voidaan tunnistaa tai kyseisen henkilön tunnistaminen voidaan varmistaa.
Biometristen tietojen käsittely erityisiin henkilötietoryhmiin kuuluvina tietoina on lähtökohtaisesti kiellettyä GDPR:n mukaisesti ilman suostumusta tai suoraa perustetta GDPR:n tai muun lainsäädännön nojalla. Lisäksi voidaan vaatia tiettyjen toimenpiteiden tai sopimusmenettelyjen toteuttamista. Siten myös kasvojentunnistusteknologian käyttäminen edellyttää siten tietosuoja-asetuksen mukaista oikeusperustetta, kuten nimenomaista suostumusta, lakisääteistä tehtävää tai yleistä etua.
Ruotsin Tietosuojavaltuutettu Datainspektion tulkitsi elokuussa 2019 antamassaan ratkaisussa koulun tekemän kasvojentunnistuskokeilun rikkoneen yleistä tietosuoja-asetusta ja määräsi koululle reilun 20 000 euron sakot. Kokeilussa koulu oli seurannut noin kolmen viikon ajan 22 oppilaan läsnäoloa tunnistamalla kunkin oppilaan kasvot tämän astuessa luokkaan, jonka jälkeen kuvaa verrattiin aiemmin ladattuun kuvaan oppilaasta ja sen perusteella yhdistettiin oppilaan koko nimeen. Oppilaiden huoltajilta oli pyydetty nimenomainen suostumus ja kokeilusta oli mahdollista jättäytyä pois. Ratkaisussa myöskään sillä ei ollut merkitystä, että kasvontunnistus oli koulussa vasta kokeiluasteella, viranomaiset puuttuivat asiaan heti ja tekivät päätöksensä pikaisesti.
1) Muista tietosuojaperiaatteiden noudattaminen. Henkilötietojen käsittelyn periaatteita loukattiin ja henkilötietoja käsiteltiin laajemmin kuin oli tarpeellista suhteessa käsittelytarkoitukseen. Kasvojentunnistuksen ei katsottu olevan oikeassa suhteessa läsnäolovalvontaan eli tietojen käsittely oli suhteellisuusperiaatteen vastaista. Käytettävissä olisi ollut vähemmän rekisteröityjen yksityisyyteen puuttuvia vaihtoehtoja.
2) Arvioi käsittelyperusteet ja suostumuksen luonne. Kerätyt tiedot olivat Ruotsin tietosuojavaltuutetun mukaan erityisiin henkilötietoryhmiin kuuluvia GDPR artiklan 9 mukaisia henkilötietoja, joilla kyettiin yksiselitteisesti tunnistamaan henkilö. Kyseisten tietojen osalta on voimassa lähtökohtainen kielto niiden käsittelyyn. Käsittely on kuitenkin mahdollista nimenomaisella suostumuksella, joka myös tapauksessa oli hankittu. Tämän ei kuitenkaan katsottu olevan mahdollista ottaen huomioon edellä todettu epäsuhta koulun ja sen oppilaiden välillä (rekisterinpitäjän ja rekisteröidyn), sekä läsnäolotietojen seurannan yksipuoleinen luonne. Suostumusta ei siten voitu pitää tietosuoja-asetuksen tarkoittamalla tavalla vapaaehtoisena ja käypänä poikkeuksena käsittelykiellolle kuten ilmenee myös GDPR:n johdanto-osan 43 kohdasta.
3) Tee tietosuojaa koskeva vaikutustenarviointi oikein ja pyydä tarvittaessa ennakkokuulemista. Tietosuojaa koskeva vaikutustenarviointi (artikla 35) ja ennakkokuuleminen (artikla 36) olivat jääneet käytännössä tekemättä. Koulu ilmoitti tehneensä riittäväksi katsomansa riskianalyysin, jonka perusteella ei pidetty tarpeellisena tehdä riskianalyysia nimenomaisesti henkilötietoihin liittyen. Tietosuojavaltuutettu katsoi, ettei varsinaista tietosuoja-analyysiä ollut tehty ja piti tehtyä arviota puutteellisena. Arviossa ei huomioitu riskejä, joita kohdistuu rekisteröidyn oikeuksille ja vapauksille, eikä se sisältänyt suhteellisuusarvioita kerättyjen tietojen ja käyttötarkoituksen välillä. 35 artiklan mukaista vaikutustenarviointia ei katsottu tehdyksi, eikä 36 artiklan mukaista ennakkolausumaa ollut pyydetty. Ennakkolausuman pyytäminen edellyttää aina ensin tehtyä vaikutusten arviointia.