Ansiktsgjenkjenning kameraovervåking – hva er forbudt?
Sist oppdatert 26. juni 2026, av advokat Kjell Steffner
|
Kort fortalt
|
De fleste funksjonene i et moderne overvåkingssystem er lovlige med riktig grunnlag og prosess. Noen er det ikke — uansett hvor godt formålet høres ut. Denne artikkelen tar for seg den klareste forbudssonen i kameraovervåking: ansiktsgjenkjenning, biometrisk kategorisering og emosjonsgjenkjenning. Spørsmålet om ansiktsgjenkjenning i kameraovervåking er lov i Norge, har et ganske tydelig svar, og det blir tydeligere når EUs AI-forordning trer i kraft.
Er ansiktsgjenkjenning i kameraovervåking lov i Norge?
Som klart utgangspunkt: nei, ikke i de fleste praktiske sammenhenger. Ansiktsgjenkjenning som identifiserer enkeltpersoner, innebærer behandling av biometriske personopplysninger, som er en særlig kategori personopplysninger etter personvernforordningen art. 9. Behandling av slike opplysninger er i utgangspunktet forbudt, og krever et av de snevre unntakene i art. 9 nr. 2. I arbeidsforhold er samtykke som hovedregel uegnet som grunnlag, fordi styrkeforholdet mellom partene gjør at samtykket sjelden er reelt frivillig, slik Datatilsynet legger til grunn. Terskelen er derfor svært høy i alle de tre vanligste kontekstene — overvåking av ansatte, av offentlig tilgjengelig sted som butikk og parkering, og i industri og lager.
Dette betyr ikke at ansiktsgjenkjenning er kategorisk forbudt i lovens forstand. Det er tenkelig med et tungtveiende, dokumentert sikkerhetsbehov som kan oppfylle et unntak. Men i praksis vil de aller fleste virksomheter ikke kunne rettferdiggjøre ansiktsgjenkjenning, fordi mindre inngripende tiltak nesten alltid strekker til for det legitime formålet.
Hva er forskjellen på ansiktsgjenkjenning og vanlig objektdeteksjon?
Forskjellen er rettslig avgjørende. Objektdeteksjon klassifiserer hva som er i bildet — «en person», «et kjøretøy» — uten å fastslå hvem personen er. Det er ordinære personopplysninger, og kan ofte forsvares etter berettiget interesse. Ansiktsgjenkjenning fastslår identitet ved å sammenligne ansiktstrekk mot en mal, og krysser dermed over i biometriske opplysninger etter art. 9 med en helt annen terskel. Det samme skillet går mellom å telle personer i en kø og å gjenkjenne den enkelte i køen. Når leverandører markedsfører «AI-kameraer», er det derfor sentralt å vite om funksjonen klassifiserer eller identifiserer.
Hva forbyr EUs AI-forordning?
EUs AI-forordning (forordning (EU) 2024/1689) forbyr i artikkel 5 enkelte praksiser direkte. Mest relevant for kameraovervåking er fire forbud, slik EU-kommisjonen har beskrevet dem:
- emosjonsgjenkjenning på arbeidsplassen og i utdanningsinstitusjoner (art. 5 nr. 1 bokstav f), med snevre unntak for medisinske og sikkerhetsmessige formål;
- biometrisk kategorisering som utleder sensitive trekk som etnisitet, politisk oppfatning, religion eller seksuell orientering (art. 5 nr. 1 bokstav g);
- utrettet innsamling (scraping) av ansiktsbilder fra internett eller overvåkingsopptak for å bygge ansiktsgjenkjenningsdatabaser;
- sanntids fjernbiometrisk identifikasjon i offentlig tilgjengelige rom for rettshåndhevelse, med snevre unntak.
For en privat virksomhet er det særlig de to første som er praktisk viktige. Et kamera som «leser stemningen» til ansatte, eller som sorterer kunder etter antatt etnisitet eller religion, vil rammes direkte av forbudene når forordningen gjelder.
Gjelder AI-forordningens forbud i Norge nå?
Her må man være presis, fordi det er et vanlig misforståelsespunkt. AI-forordningens forbudsregler har vært anvendelige i EU siden 2. februar 2025. Men forordningen er per juni 2026 ennå ikke innlemmet i EØS-avtalen, og den norske gjennomføringsloven — KI-loven — er forsinket. Regjeringen har tatt sikte på ikrafttredelse i Norge fra sensommeren 2026, omtrent samtidig som hoveddelen av forordningen gjelder i EU, men EØS-forhandlingene og EUs egen revisjon kan forskyve dette.
Den praktiske konklusjonen er likevel klar: selv om AI-forordningen ennå ikke formelt gjelder i Norge, er de samme praksisene i stor grad allerede ulovlige eller svært vanskelige å rettferdiggjøre etter personopplysningsloven/GDPR — særlig behandling av sensitive opplysninger etter art. 9. Emosjonsgjenkjenning og biometrisk kategorisering forutsetter behandling av biometriske eller sensitive opplysninger, og støter dermed mot art. 9 uavhengig av AI-forordningen. Forbudssonene endrer seg altså i hjemmel når KI-loven trer i kraft, men i mindre grad i praktisk resultat. Virksomheter bør planlegge som om forbudene gjelder.
Hva med skiltgjenkjenning (ANPR)?
Skiltgjenkjenning står i en mellomstilling. Et bilskilt er en personopplysning når det kan knyttes til en person, men det er ikke en biometrisk opplysning på samme måte som et ansikt. Lovligheten avhenger av formålet og koblingen til person: ANPR for adgangskontroll til et avgrenset område kan ofte være forholdsmessig, mens systematisk logging av alle passeringer over tid raskt blir for inngripende. Vurderingen følger de alminnelige vilkårene — berettiget interesse, nødvendighet og forholdsmessighet — og ikke det strenge regimet for biometri.
Når blir vanlig kameraovervåking likevel sensitiv?
Selv uten ansiktsgjenkjenning kan kameraovervåking havne i det strenge regimet for særlige kategorier opplysninger. Datatilsynet legger til grunn at dersom overvåkingen samler inn sensitive opplysninger, eller stedet er uløselig knyttet til sensitive forhold — det klassiske eksempelet er et kamera rettet mot inngangen til et trossamfunn — gjelder de strengere reglene i art. 9. Det samme kan gjelde dersom opptakene systematisk avslører helseforhold, etnisk bakgrunn eller fagforeningstilknytning. Poenget for virksomheten er at vurderingen ikke bare avhenger av hvilken AI-funksjon som er aktivert, men også av hva og hvem kameraet faktisk fanger.
Hva er tillatt, kanskje og forbudt?
Tabellen oppsummerer de mest aktuelle AI-funksjonene. «Forbudt» betyr som hovedregel ulovlig; «kanskje» betyr sterkt kontekstavhengig; «tillatt» betyr lovlig med korrekt grunnlag og prosess.
| Funksjon | Status | Kjerne i vurderingen |
|---|---|---|
| Objektdeteksjon (person/kjøretøy) | Tillatt | Ordinære personopplysninger; berettiget interesse |
| Skiltgjenkjenning (ANPR) | Kanskje | Avhenger av formål og kobling til person |
| Ansiktsgjenkjenning (identifikasjon) | Forbudt i praksis | Biometriske opplysninger (art. 9); svært høy terskel |
| Emosjonsgjenkjenning på arbeidsplass | Forbudt | AI-forordningen art. 5(1)(f); vanskelig under GDPR art. 9 |
| Biometrisk kategorisering av sensitive trekk | Forbudt | AI-forordningen art. 5(1)(g); strider mot GDPR art. 9 |
| Skjult overvåking | Forbudt | Bryter åpenhetsprinsippet; snevre unntak |
For virksomheten er rådet enkelt: aktiver bare de AI-funksjonene formålet krever, og hold deg unna ansiktsgjenkjenning, emosjonsgjenkjenning og biometrisk kategorisering med mindre du har et helt spesielt, dokumentert grunnlag og har kvalitetssikret det rettslig. Krenkende overvåking kan dessuten rammes av straffeloven § 266 om krenkelse av privatlivets fred.
Denne artikkelen er en del av Nordia Laws serie om kameraovervåking i virksomhet. Se også oversikten over kameraovervåking og kunstig intelligens og artikkelen om sladding og maskering i kameraovervåking.
Hva er konsekvensene av å bryte forbudene?
Konsekvensene er betydelige. Brudd på personvernforordningen kan etter art. 83 sanksjoneres med overtredelsesgebyr på inntil 20 millioner euro eller 4 % av samlet global årsomsetning — det høyeste av de to. Når AI-forordningen trer i kraft, ligger de strengeste bøtene enda høyere: brudd på forbudene i artikkel 5 kan straffes med inntil 35 millioner euro eller 7 % av global årsomsetning. I tillegg kommer Datatilsynets tilsyns- og påleggskompetanse, omdømmetap, og risikoen for at ulovlig innsamlede opptak ikke kan brukes som bevis. For en virksomhet er den rasjonelle tilnærmingen å holde seg klart innenfor — ikke å teste grensene for hva som «kanskje» er lov.
Vanlige spørsmål
Er det lov å bruke ansiktsgjenkjenning for adgangskontroll til egne lokaler?
Terskelen er høy også her, fordi det behandles biometriske opplysninger etter art. 9. Ansiktsgjenkjenning for adgangskontroll vil sjelden være nødvendig når mindre inngripende alternativer — adgangskort, kode eller nøkkelbrikke — oppnår samme formål. Et eventuelt grunnlag må dokumenteres grundig og bør kvalitetssikres rettslig på forhånd.
Rammes folketelling og kø-analyse av forbudene?
Nei, så lenge systemet bare teller og klassifiserer uten å identifisere enkeltpersoner eller utlede sensitive trekk. Anonym telling av antall personer i en kø er ordinær behandling som kan forsvares etter berettiget interesse, og er noe annet enn ansiktsgjenkjenning eller biometrisk kategorisering.
Hva om leverandøren sier at funksjonen er «GDPR-kompatibel»?
En leverandørs markedsføringspåstand er ikke en rettslig vurdering. Om en konkret bruk er lovlig, avhenger av virksomhetens formål, behandlingsgrunnlag og kontekst — ikke av en generell merkelapp fra leverandøren. Vurderingen må gjøres av den behandlingsansvarlige.
Gjelder reglene også små virksomheter?
Ja. Personvernforordningen gjelder uavhengig av virksomhetens størrelse, og forbudene mot biometrisk kategorisering og emosjonsgjenkjenning gjelder alle. Det finnes ingen unntak for små bedrifter; terskelen for sensitive opplysninger er den samme.
|
Om forfatteren Kjell Steffner · Advokat Partner i Nordia Law — IT- og teknologirett, personvern og immaterialrett Kjell Steffner er partner i Nordia Law og arbeider med IT- og teknologirett, personvern og immaterialrett. Han bistår norske og internasjonale virksomheter med personvern og etterlevelse ved bruk av ny teknologi, herunder kameraovervåking og kunstig intelligens. |
Kilder: Personvernforordningen art. 9 (personopplysningsloven); EUs AI-forordning (2024/1689); EU-kommisjonen om forbudte AI-praksiser; Regjeringen om KI-loven; Datatilsynet om kameraovervåking på arbeidsplassen; straffeloven § 266.
