Technologia rozpoznawania twarzy przez podmioty sektora prywatnego na gruncie aktualnych ram prawa UE

Technologia rozpoznawania twarzy, wykorzystująca sztuczną inteligencję, znajduje coraz większe zastosowanie w weryfikacji, identyfikacji lub kategoryzacji tożsamości poprzez podmioty z sektora prywatnego. Może być ona stosowana przykładowo do celów marketingowych, statystycznych, w celu umożliwienia dostępu lub też jako mechanizm bezpieczeństwa.

Założenia

Pośród korzyści technologii rozpoznawania twarzy warto wyróżnić choćby szybkość, automatyzm czy unikalny charakter przetwarzanych danych. Jednocześnie jednak trzeba zadbać o to, by jej przeznaczenie nie wiązało się z naruszeniem praw osób, których twarz podlega rozpoznawaniu.

Aktualnie prowadzone są prace dotyczące wprowadzenia unijnych przepisów, o których szerzej pisaliśmy tutaj, które mają znaleźć zastosowanie także do systemów zdalnej identyfikacji biometrycznej, w tym również do technologii rozpoznawania twarzy.

Aktualne ramy prawne

Zasadnicze gwarancje w prawie unijnym dla osób, których twarz miałaby podlegać rozpoznawaniu, stanowi prawo do prywatności oraz ochrony danych osobowych (art. 7 i 8 Karty Praw Podstawowych). Szczegółowe ramy prawne dla wykorzystania technologii rozpoznawania twarzy przez podmioty sektora prywatnego ustalają zaś obecnie głowinie przepisy ogólnego rozporządzenia w sprawie ochrony danych („RODO”).

Wykorzystanie technologii rozpoznawania twarzy związane jest najczęściej z automatycznym przetwarzaniem danych odnoszących się do cech fizycznych, fizjologicznych lub behawioralnych w celu jednoznacznej identyfikacji osoby fizycznej. Z tej przyczyny wskazuje się, że wykorzystanie takich danych powinno być uznawane za przetwarzanie danych biometrycznych.[1]

Dane biometryczne to, zgodnie z definicją z art. 4 pkt 14 RODO, dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych danej osoby oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne.

Przetwarzanie danych biometrycznych na podstawie wyraźnej zgody

Przetwarzanie danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej jest w gruncie rzeczy zabronione na gruncie art. 9 ust. 1 RODO. Od zasady tej istnieją jednak wyjątki, pośród których pojawia się m.in. wyraźna zgoda osoby, której dane dotyczą, na takie przetwarzanie w konkretnych celach.

Warto zaznaczyć, że przykładowo fotografie lub nagrania są objęte definicją danych biometrycznych tylko w wówczas, gdy są one przetwarzane specjalnymi metodami technicznymi, umożliwiającymi jednoznaczną identyfikację osoby fizycznej lub potwierdzenie jej tożsamości. W przypadku gdy nie jest to możliwe, nie mamy do czynienia z przetwarzaniem danych biometrycznych.

Korzystanie z nadzoru wideo, w tym funkcji rozpoznawania biometrycznego, zainstalowanych przez podmioty prywatne do ich własnych celów, w większości przypadków będzie wymagało właśnie wyraźnej zgody wszystkich osób, których dane będą przetwarzane.[2] Na gruncie odrębnych, poza unijnych przepisów należy zwrócić dodatkowo uwagę, że podmioty korzystające z takiej technologii muszą być w stanie wykazać, że jej zastosowanie jest ściśle konieczne i proporcjonalne w uzgodnionym kontekście jej stosowania oraz że nie narusza praw osób, których dane dotyczą.[3]

Zgoda wyrażona przez zainteresowaną osobę musi być dobrowolna, konkretna, świadoma i jednoznaczna. Może zostać wyrażona w formie oświadczenia lub wyraźnego działania (art. 4 pkt 11 RODO). Nie będzie ona wyrażona dobrowolnie, jeśli przykładowo od jej wyrażenia uzależnione jest wykonanie umowy, w tym świadczenie usługi, a przetwarzanie danych biometrycznych nie jest niezbędne do jej wykonania.

Szczegółowe aspekty praktyczne

Europejska Rada Ochrony Danych zwraca uwagę, że w przypadku gdy technologia rozpoznawania twarzy miałaby znaleźć zastosowanie celem uzyskiwania dostępu do pomieszczeń, wówczas aby zapewnić zgodność przetwarzania danych osobowych z prawem, zawsze musi być oferowany alternatywny sposób dostępu, bez użycia danych biometrycznych.

Celem jednoznacznej identyfikacji konkretnej osoby, system rozpoznawania twarzy wykorzystywać może wzorzec twarzy, do którego później dopasowywane byłyby szablony zarówno prawidłowe (wówczas, gdy w polu skanowania znalazłaby się dokładnie ta osoba, której wizerunku twarzy dotyczy wzorzec), jak i błędne, należące do innych osób, jeśli znajdą się w polu skanowania. W kontekście opracowanych szablonów Europejska Rada Ochrony Danych stoi na stanowisku, że to na administratorach spoczywa obowiązek zagwarantowania, aby po uzyskaniu wyniku dopasowania lub niedopasowania wszystkie szablony pośrednie wykonane w locie w celu porównania ze wzorcem były bezzwłocznie i bezpiecznie usuwane.

Ciekawy przykład stanowią również sytuacje, gdy celem rozpoznawania twarzy jest odróżnienie jednej kategorii osób od drugiej, jednak bez jednoznacznej identyfikacji kogokolwiek. Przykładowo może to mieć miejsce po to, by dopasować reklamy w oparciu o płeć i wiek klienta, a zatem tylko w celu wykrycia określonych cech fizycznych, bez generowania wzorców biometrycznych w celu jednoznacznej identyfikacji osób. W takim przypadku nadawca reklamy nie zapisuje ani nie weryfikuje, kim jest jej dany odbiorca. Z tego względu, w ocenie Europejskiej Rady Ochrony Danych, nie ma tu zastosowania ogólny zakaz przetwarzania danych biometrycznych, ponieważ nie jest spełniony warunek celu jednoznacznego zidentyfikowania danej osoby.

Gdyby jednak dane biometryczne przypadkowych osób były zapisywane i przechowywane na przykład w celu wykrycia ponownego wejścia na dany obszar, aby następnie przedstawić spersonalizowaną reklamę, wówczas w ocenie Europejskiej Rady Ochrony Danych mielibyśmy do czynienia z jednoznaczną identyfikacją osób. Dane określonej osoby, zapisane w postaci szablonu podczas pierwszego wejścia na obszar skanowania, byłyby zatem przetwarzane celem ustalenia, czy podczas kolejnego wejścia to dokładnie ta sama osoba, jak wtedy, gdy szablon wizerunku został stworzony. Osoba, której dane dotyczą, może zaś nie wyrażać zgody na otrzymywanie ukierunkowanych dla niej personalnie reklam. W takiej sytuacji, aby tego typu system reklamy był zgodny z prawem, konieczne byłoby wcześniejsze uzyskiwanie zgód od poszczególnych osób na przetwarzanie ich danych biometrycznych.

Podsumowanie

Wykorzystując potencjał jaki wiąże się z wykorzystaniem technologii rozpoznawania twarzy, należy zwrócić szczególną uwagę na to, by jej projektowanie oraz wdrażanie odbywało się z nienaruszaniem zasad ochrony praw osobowych. W szczególności, w sytuacji, gdy zastosowanie technologii rozpoznawania twarzy służy rozpoznaniu konkretnej osoby, wobec czego wymagana jest jej zgoda, uwzględnienie wymogów takiej zgody optymalnie powinno mieć miejsce na stosunkowo wczesnym etapie projektowania mechanizmów tej technologii.

W obecnie projektowanych rozwiązaniach zakłada się, że co do zasady przetwarzanie danych biometrycznych i innych danych osobowych związane ze stosowaniem systemów sztucznej inteligencji do identyfikacji biometrycznej, niezależnie od nowych przepisów, powinno nadal spełniać wszelkie wymogi wynikające z RODO. Oznacza to, że aktualnie obowiązujące, podstawowe zasady przetwarzania danych biometrycznych znajdą w dużej mierze zastosowanie po wprowadzeniu planowanych regulacji.

Więcej dowiesz się na naszej stronie. Zachęcamy również do kontaktu.

[1] Analiza pt. „In-depth analysis – regulating facial recognition in the EU” z września 2021 r. przygotowana w ramach Biura Analiz Parlamentu Europejskiego EPRS.

[2] Wytyczne Europejskiej Rady Ochrony Danych nr 3/2019, wersja 2.0. z 29 stycznia 2020 r. w sprawie przetwarzania danych osobowych za pośrednictwem urządzeń video.

[3] Wytyczne Rady Europy dotyczące rozpoznawania twarzy z 29 stycznia 2021 r., wydane przez Komitet Konsultacyjny Konwencji o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych.

5 1 vote

Ocena artykułu:

Czytelniku pamiętaj:
Niniejszy artykuł ma wyłącznie charakter informacyjny i nie stanowi poradnika w rozumieniu prawa. Zawarte w nim treści mają na celu dostarczenie ogólnych informacji i nie mogą być traktowane jako fachowe porady lub opinie. Każdorazowo przed podejmowaniem jakichkolwiek działań na podstawie informacji zawartych w artykule, skonsultuj się ze specjalistami lub osobami posiadającymi odpowiednie uprawnienia. Autor artykułu oraz wydawca strony nie ponosi żadnej odpowiedzialności za ewentualne działania podejmowane na podstawie informacji zawartych w artykule.

0 komentarzy

Inline Feedbacks

View all comments

Cookie	Duration	Description
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Technologia rozpoznawania twarzy przez podmioty sektora prywatnego na gruncie aktualnych ram prawa UE

Założenia

Aktualne ramy prawne

Przetwarzanie danych biometrycznych na podstawie wyraźnej zgody

Szczegółowe aspekty praktyczne

Podsumowanie

Wdrożenia ClickUp – Beproductive

Twój własny sklep internetowy bez magazynu – czy to możliwe?

Gdzie najlepiej inwestować w mieszkania?

Najważniejszy element płotu – słupki ogrodzeniowe

Porównanie farb ceramicznych i lateksowych z uwzględnieniem produktu Scala Ceramic

Decyzja o Wyborze Mebli: Czy Meble na Zamówienie Przewyższają Gotowe Ze Sklepu

Jesienne smaki – co proponują lubelskie restauracje?

Windy gastronomiczne – dlaczego warto zainwestować w małe windy towarowe?

Jak ubrać się na koncert dla maksymalnego komfortu i stylu?

Drugie życie dla Twoich butów – renowacja obuwia

Logistyka w transporcie – gwarancja jakości i wydajności

Skup aut — czy opłaca się sprzedawać swoje auto do skupu?

Badanie prenatalne przez brzuch czy dopochwowo?

Pływanie to najmniej kontuzyjny sport

Informacja o ciasteczkach

Zobacz również:

Kategorie

Tagi artykułów

Technologia rozpoznawania twarzy przez podmioty sektora prywatnego na gruncie aktualnych ram prawa UE

Założenia

Aktualne ramy prawne

Przetwarzanie danych biometrycznych na podstawie wyraźnej zgody

Szczegółowe aspekty praktyczne

Podsumowanie

Zobacz co dla Ciebie przygotowaliśmy:

Informacja o ciasteczkach

Zobacz również:

Kategorie

Tagi artykułów

Strona korzysta z plików cookies