Technologia rozpoznawania twarzy przez podmioty sektora prywatnego na gruncie aktualnych ram prawa UE
Technologia rozpoznawania twarzy, wykorzystująca sztuczną inteligencję, znajduje coraz większe zastosowanie w weryfikacji, identyfikacji lub kategoryzacji tożsamości poprzez podmioty z sektora prywatnego. Może być ona stosowana przykładowo do celów marketingowych, statystycznych, w celu umożliwienia dostępu lub też jako mechanizm bezpieczeństwa.
Założenia
Technologia rozpoznawania twarzy, wykorzystująca sztuczną inteligencję, znajduje coraz większe zastosowanie w weryfikacji, identyfikacji lub kategoryzacji tożsamości poprzez podmioty z sektora prywatnego. Może być ona stosowana przykładowo do celów marketingowych, statystycznych, w celu umożliwienia dostępu lub też jako mechanizm bezpieczeństwa.
Pośród korzyści technologii rozpoznawania twarzy warto wyróżnić choćby szybkość, automatyzm czy unikalny charakter przetwarzanych danych. Jednocześnie jednak trzeba zadbać o to, by jej przeznaczenie nie wiązało się z naruszeniem praw osób, których twarz podlega rozpoznawaniu.
Aktualnie prowadzone są prace dotyczące wprowadzenia unijnych przepisów, o których szerzej pisaliśmy tutaj, które mają znaleźć zastosowanie także do systemów zdalnej identyfikacji biometrycznej, w tym również do technologii rozpoznawania twarzy.
Aktualne ramy prawne
Zasadnicze gwarancje w prawie unijnym dla osób, których twarz miałaby podlegać rozpoznawaniu, stanowi prawo do prywatności oraz ochrony danych osobowych (art. 7 i 8 Karty Praw Podstawowych). Szczegółowe ramy prawne dla wykorzystania technologii rozpoznawania twarzy przez podmioty sektora prywatnego ustalają zaś obecnie głowinie przepisy ogólnego rozporządzenia w sprawie ochrony danych („RODO”).
Wykorzystanie technologii rozpoznawania twarzy związane jest najczęściej z automatycznym przetwarzaniem danych odnoszących się do cech fizycznych, fizjologicznych lub behawioralnych w celu jednoznacznej identyfikacji osoby fizycznej. Z tej przyczyny wskazuje się, że wykorzystanie takich danych powinno być uznawane za przetwarzanie danych biometrycznych.[1]
Dane biometryczne to, zgodnie z definicją z art. 4 pkt 14 RODO, dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych danej osoby oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne.
Przetwarzanie danych biometrycznych na podstawie wyraźnej zgody
Przetwarzanie danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej jest w gruncie rzeczy zabronione na gruncie art. 9 ust. 1 RODO. Od zasady tej istnieją jednak wyjątki, pośród których pojawia się m.in. wyraźna zgoda osoby, której dane dotyczą, na takie przetwarzanie w konkretnych celach.
Warto zaznaczyć, że przykładowo fotografie lub nagrania są objęte definicją danych biometrycznych tylko w wówczas, gdy są one przetwarzane specjalnymi metodami technicznymi, umożliwiającymi jednoznaczną identyfikację osoby fizycznej lub potwierdzenie jej tożsamości. W przypadku gdy nie jest to możliwe, nie mamy do czynienia z przetwarzaniem danych biometrycznych.
Korzystanie z nadzoru wideo, w tym funkcji rozpoznawania biometrycznego, zainstalowanych przez podmioty prywatne do ich własnych celów, w większości przypadków będzie wymagało właśnie wyraźnej zgody wszystkich osób, których dane będą przetwarzane.[2] Na gruncie odrębnych, poza unijnych przepisów należy zwrócić dodatkowo uwagę, że podmioty korzystające z takiej technologii muszą być w stanie wykazać, że jej zastosowanie jest ściśle konieczne i proporcjonalne w uzgodnionym kontekście jej stosowania oraz że nie narusza praw osób, których dane dotyczą.[3]
Zgoda wyrażona przez zainteresowaną osobę musi być dobrowolna, konkretna, świadoma i jednoznaczna. Może zostać wyrażona w formie oświadczenia lub wyraźnego działania (art. 4 pkt 11 RODO). Nie będzie ona wyrażona dobrowolnie, jeśli przykładowo od jej wyrażenia uzależnione jest wykonanie umowy, w tym świadczenie usługi, a przetwarzanie danych biometrycznych nie jest niezbędne do jej wykonania.
Szczegółowe aspekty praktyczne
Europejska Rada Ochrony Danych zwraca uwagę, że w przypadku gdy technologia rozpoznawania twarzy miałaby znaleźć zastosowanie celem uzyskiwania dostępu do pomieszczeń, wówczas aby zapewnić zgodność przetwarzania danych osobowych z prawem, zawsze musi być oferowany alternatywny sposób dostępu, bez użycia danych biometrycznych.
Celem jednoznacznej identyfikacji konkretnej osoby, system rozpoznawania twarzy wykorzystywać może wzorzec twarzy, do którego później dopasowywane byłyby szablony zarówno prawidłowe (wówczas, gdy w polu skanowania znalazłaby się dokładnie ta osoba, której wizerunku twarzy dotyczy wzorzec), jak i błędne, należące do innych osób, jeśli znajdą się w polu skanowania. W kontekście opracowanych szablonów Europejska Rada Ochrony Danych stoi na stanowisku, że to na administratorach spoczywa obowiązek zagwarantowania, aby po uzyskaniu wyniku dopasowania lub niedopasowania wszystkie szablony pośrednie wykonane w locie w celu porównania ze wzorcem były bezzwłocznie i bezpiecznie usuwane.
Ciekawy przykład stanowią również sytuacje, gdy celem rozpoznawania twarzy jest odróżnienie jednej kategorii osób od drugiej, jednak bez jednoznacznej identyfikacji kogokolwiek. Przykładowo może to mieć miejsce po to, by dopasować reklamy w oparciu o płeć i wiek klienta, a zatem tylko w celu wykrycia określonych cech fizycznych, bez generowania wzorców biometrycznych w celu jednoznacznej identyfikacji osób. W takim przypadku nadawca reklamy nie zapisuje ani nie weryfikuje, kim jest jej dany odbiorca. Z tego względu, w ocenie Europejskiej Rady Ochrony Danych, nie ma tu zastosowania ogólny zakaz przetwarzania danych biometrycznych, ponieważ nie jest spełniony warunek celu jednoznacznego zidentyfikowania danej osoby.
Gdyby jednak dane biometryczne przypadkowych osób były zapisywane i przechowywane na przykład w celu wykrycia ponownego wejścia na dany obszar, aby następnie przedstawić spersonalizowaną reklamę, wówczas w ocenie Europejskiej Rady Ochrony Danych mielibyśmy do czynienia z jednoznaczną identyfikacją osób. Dane określonej osoby, zapisane w postaci szablonu podczas pierwszego wejścia na obszar skanowania, byłyby zatem przetwarzane celem ustalenia, czy podczas kolejnego wejścia to dokładnie ta sama osoba, jak wtedy, gdy szablon wizerunku został stworzony. Osoba, której dane dotyczą, może zaś nie wyrażać zgody na otrzymywanie ukierunkowanych dla niej personalnie reklam. W takiej sytuacji, aby tego typu system reklamy był zgodny z prawem, konieczne byłoby wcześniejsze uzyskiwanie zgód od poszczególnych osób na przetwarzanie ich danych biometrycznych.
Podsumowanie
Wykorzystując potencjał jaki wiąże się z wykorzystaniem technologii rozpoznawania twarzy, należy zwrócić szczególną uwagę na to, by jej projektowanie oraz wdrażanie odbywało się z nienaruszaniem zasad ochrony praw osobowych. W szczególności, w sytuacji, gdy zastosowanie technologii rozpoznawania twarzy służy rozpoznaniu konkretnej osoby, wobec czego wymagana jest jej zgoda, uwzględnienie wymogów takiej zgody optymalnie powinno mieć miejsce na stosunkowo wczesnym etapie projektowania mechanizmów tej technologii.
W obecnie projektowanych rozwiązaniach zakłada się, że co do zasady przetwarzanie danych biometrycznych i innych danych osobowych związane ze stosowaniem systemów sztucznej inteligencji do identyfikacji biometrycznej, niezależnie od nowych przepisów, powinno nadal spełniać wszelkie wymogi wynikające z RODO. Oznacza to, że aktualnie obowiązujące, podstawowe zasady przetwarzania danych biometrycznych znajdą w dużej mierze zastosowanie po wprowadzeniu planowanych regulacji.
Więcej dowiesz się na naszej stronie. Zachęcamy również do kontaktu.
[1] Analiza pt. „In-depth analysis – regulating facial recognition in the EU” z września 2021 r. przygotowana w ramach Biura Analiz Parlamentu Europejskiego EPRS.
[2] Wytyczne Europejskiej Rady Ochrony Danych nr 3/2019, wersja 2.0. z 29 stycznia 2020 r. w sprawie przetwarzania danych osobowych za pośrednictwem urządzeń video.
[3] Wytyczne Rady Europy dotyczące rozpoznawania twarzy z 29 stycznia 2021 r., wydane przez Komitet Konsultacyjny Konwencji o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych.
Tekst zewnętrzny, artykuł sponsorowany
Czytelniku pamiętaj:
Niniejszy artykuł ma wyłącznie charakter informacyjny i nie stanowi poradnika w rozumieniu prawa. Zawarte w nim treści mają na celu dostarczenie ogólnych informacji i nie mogą być traktowane jako fachowe porady lub opinie. Każdorazowo przed podejmowaniem jakichkolwiek działań na podstawie informacji zawartych w artykule, skonsultuj się ze specjalistami lub osobami posiadającymi odpowiednie uprawnienia. Autor artykułu oraz wydawca strony nie ponosi żadnej odpowiedzialności za ewentualne działania podejmowane na podstawie informacji zawartych w artykule.