Datatilsynet åbner for ansigtsgenkendelse i Superligaen
Datatilsynet har givet en samlet tilladelse til, at Superligaklubber må anvende ansigtsgenkendelse for at identificere personer og håndhæve karantæner på kampdage. Tilladelsen er begrundet i væsentlige samfundsinteresser, mens 1. division er afvist af proportionalitetshensyn, bl.a. på grund af lavere risiko og tilskuergrundlag. Brøndby IF og F.C. København har allerede særskilte tilladelser.
Behandlingen omfatter biometriske data, som er en særlig kategori efter GDPR art. 9. Derfor kræves et gyldigt behandlingsgrundlag, stram adgangsstyring og dokumenteret risikostyring. Datatilsynet, efter indstilling fra Datarådet, vurderer om betingelserne er opfyldt og kontrollerer, at foranstaltningerne er tilstrækkelige.
Tilladelsen er betinget af flere konkrete krav, som klubberne selv skal efterleve og dokumentere:
- Anvendelsesområde: Kun Superligakampe, UEFA-kampe og træningskampe med deltagelse af hold fra de øverste rækker; ingen brug ved andre arrangementer som koncerter.
- Lagring og sletning: Ingen lagring uden match; ved match må oplysninger kun bruges til håndhævelse af egne eller politiets karantæner og skal slettes kort efter kampens afslutning; deling mellem klubber er ikke tilladt.
- Oplysningspligt: Klar skiltning på stadion, så tilskuere informeres om brug af ansigtsgenkendelse.
Behandlingen skal desuden være nødvendig og forholdsmæssig i forhold til formålet, og må ikke udvides til andre formål som markedsføring eller publikumsprofilering. Registrerede har de almindelige rettigheder til indsigt, indsigelse og sletning, i det omfang de kan udøves uden at kompromittere formålet. Klubberne bør etablere klare kontaktpunkter, opdatere privatlivspolitikker og sikre dokumentation for interesseafvejninger og tests af systemernes nøjagtighed og fejlrater. Tilsyn og audit bør planlægges årligt.
Klubberne er samtidig omfattet af tv-overvågningsloven, herunder 30-dagesreglen for irrelevante optagelser, og skal indhente kommunale tilladelser, hvis kameraer også filmer offentlige arealer. Datatilsynets pressemeddelelse kan læses hos Datatilsynet.
Implementering og compliance
Før systemerne tages i brug, skal hver klub gennemføre en konsekvensanalyse (DPIA) af behandlingen, identificere risici for de registreredes rettigheder og fastlægge passende tekniske og organisatoriske foranstaltninger. Hvis der fortsat er høj risiko efter planlagte foranstaltninger, skal klubben konsultere Datatilsynet før idriftsættelse.
Klubberne bør sikre klare interne retningslinjer for adgangskontrol, logning, slettefrister og incident-håndtering, samt koordinere med politi og kommune om karantænelister og kameraopsætning. En tydelig rollefordeling mellem dataansvarlig og eventuelle databehandlere, løbende uddannelse og egenkontrol vil være afgørende for at undgå brud på regler og vilkår.
UEFA åbner for nationale ligakampe i udlandet
UEFA har imødekommet anmodninger fra udenlandske ligaer om at afvikle enkelte ligakampe uden for Europa. For danske klubber er udgangspunktet i Divisionsforeningens Turneringsregler, at kampe normalt spilles på hjemmebanen, men en anden bane kan anvendes med administratorens godkendelse (DBU/Divisionsforeningen). Reglerne fastsætter ikke nærmere kriterier for godkendelsen.
Skal en Superligakamp spilles i et andet land, kræver det yderligere tilladelser efter internationale vedtægter, herunder værtsforbundets accept, UEFA-forhåndsgodkendelse ved kampe uden for Europa og FIFA’s samtykke. En klub, der vil flytte en national kamp til udlandet, skal derfor som minimum indhente følgende godkendelser:
- DBU eller Divisionsforeningen.
- Det nationale forbund i værtslandet.
- UEFA, hvis kampen placeres uden for Europa.
- FIFA.
Klubber bør i den forbindelse tidligt vurdere konkurrenceregler, stadion- og sikkerhedskrav, aftaler om tv-rettigheder og billetforhold samt påvirkning af sæsonplanen, så myndighedskrav og sportslig integritet kan efterleves uden konflikt med gældende regler.
