Technologia rozpoznawania twarzy przez podmioty sektora prywatnego na gruncie aktualnych ram prawa UE

Założenia

Technologia rozpoznawania twarzy, korzystająca ze sztucznej inteligencji, znajduje coraz częstsze zastosowanie w weryfikacji, identyfikacji lub kategoryzacji tożsamości przez podmioty sektora prywatnego. Może być ona wykorzystywana przykładowo w celach marketingowych, statystycznych, w celu umożliwienia dostępu lub też jako mechanizm bezpieczeństwa.

Wśród korzyści technologii rozpoznawania twarzy warto wymienić chociażby szybkość, automatyzm czy unikalny charakter wykorzystywanych danych. Jednocześnie jednak trzeba zadbać o to, by jej zastosowanie nie wiązało się z naruszeniem praw osób, których twarz podlega rozpoznawaniu.

Aktualnie procedowane jest wprowadzenie unijnych przepisów, o których szerzej pisaliśmy tutaj, mających znaleźć zastosowanie również do systemów zdalnej identyfikacji biometrycznej, w tym właśnie do technologii rozpoznawania twarzy.

Aktualne ramy prawne

Podstawowe gwarancje w prawie unijnym dla osób, których twarz miałaby podlegać rozpoznawaniu, stanowi prawo do prywatności oraz ochrony danych osobowych (art. 7 i 8 Karty Praw Podstawowych). Szczegółowe ramy prawne dla wykorzystania technologii rozpoznawania twarzy przez podmioty sektora prywatnego wyznaczają zaś obecnie przede wszystkim przepisy ogólnego rozporządzenia w sprawie ochrony danych („RODO”).

Zastosowanie technologii rozpoznawania twarzy wiąże się zazwyczaj z automatycznym przetwarzaniem danych dotyczących cech fizycznych, fizjologicznych lub behawioralnych w celu jednoznacznej identyfikacji osoby fizycznej. Z tego względu wskazuje się, że wykorzystanie tych danych powinno być kwalifikowane jako przetwarzanie danych biometrycznych.[1]

Dane biometryczne to, zgodnie z definicją z art. 4 pkt 14 RODO, dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych danej osoby oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne.

Przetwarzanie danych biometrycznych na podstawie wyraźnej zgody

Przetwarzanie danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej jest co do zasady zabronione na gruncie art. 9 ust. 1 RODO. Od zasady tej istnieją jednak wyjątki, wśród których znajduje się m.in. wyraźna zgoda osoby, której dane dotyczą, na takie przetwarzanie w konkretnych celach.

Warto zwrócić uwagę, że przykładowo fotografie lub nagrania są objęte definicją danych biometrycznych tylko w przypadkach, gdy są one przetwarzane specjalnymi metodami technicznymi, umożliwiającymi jednoznaczną identyfikację osoby fizycznej lub potwierdzenie jej tożsamości. Jeżeli nie jest to możliwe, wówczas w ogóle nie mamy do czynienia z przetwarzaniem danych biometrycznych.

Korzystanie z nadzoru wideo, w tym funkcji rozpoznawania biometrycznego, zainstalowanych przez podmioty prywatne do ich własnych celów, w większości przypadków będzie wymagało właśnie wyraźnej zgody wszystkich osób, których dane będą przetwarzane.[2] Na gruncie odrębnych, pozaunijnych przepisów zwraca się dodatkowo uwagę, że podmioty wykorzystujące taką technologię muszą być w stanie wykazać, że jej zastosowanie jest ściśle niezbędne i proporcjonalne w określonym kontekście jej stosowania oraz że nie narusza praw osób, których dane dotyczą.[3]

Zgoda wyrażona przez zainteresowaną osobę musi być dobrowolna, konkretna, świadoma i jednoznaczna. Może zostać wyrażona w formie oświadczenia lub wyraźnego działania (art. 4 pkt 11 RODO). Nie będzie ona wyrażona dobrowolnie, jeśli przykładowo od jej wyrażenia uzależnione jest wykonanie umowy, w tym świadczenie usługi, a przetwarzanie danych biometrycznych nie jest niezbędne do jej wykonania.

Szczegółowe aspekty praktyczne

Europejska Rada Ochrony Danych zwraca uwagę, że w przypadku gdy technologia rozpoznawania twarzy miałaby znaleźć zastosowanie celem uzyskiwania dostępu do pomieszczeń, wówczas aby zapewnić zgodność przetwarzania danych osobowych z prawem, zawsze musi być oferowany alternatywny sposób dostępu, bez użycia danych biometrycznych.

Celem jednoznacznej identyfikacji konkretnej osoby, system rozpoznawania twarzy posługiwać może się wzorcem twarzy, do którego następnie dopasowywane byłyby szablony zarówno prawidłowe (wówczas, gdy w polu skanowania znalazłaby się dokładnie ta osoba, której wizerunku twarzy dotyczy wzorzec), jak i błędne, należące do innych osób, jeśli znajdą się w polu skanowania. W kontekście wytworzonych szablonów Europejska Rada Ochrony Danych stoi na stanowisku, że to na administratorach spoczywa obowiązek zapewnienia, aby po uzyskaniu wyniku dopasowania lub niedopasowania wszystkie szablony pośrednie wykonane w locie w celu porównania ze wzorcem były natychmiast i bezpiecznie usuwane.

Ciekawy przykład stanowią również sytuacje, gdy celem rozpoznawania twarzy jest odróżnienie jednej kategorii osób od drugiej, jednak bez jednoznacznej identyfikacji kogokolwiek. Przykładowo może to mieć miejsce po to, by dostosować reklamy w oparciu o płeć i wiek klienta, a zatem wyłącznie w celu wykrycia określonych cech fizycznych, bez generowania wzorców biometrycznych w celu jednoznacznej identyfikacji osób. W takim przypadku nadawca reklamy nie zapisuje ani nie weryfikuje, kim jest jej dany odbiorca. Z tego względu, w ocenie Europejskiej Rady Ochrony Danych, nie znajdzie tu zastosowania ogólny zakaz przetwarzania danych biometrycznych, ponieważ nie jest spełniony warunek celu jednoznacznego zidentyfikowania danej osoby.

Gdyby jednak dane biometryczne przypadkowych osób były zapisywane i przechowywane na przykład w celu wykrycia ponownego wejścia na dany obszar, aby następnie przedstawić spersonalizowaną reklamę, wówczas w ocenie Europejskiej Rady Ochrony Danych mielibyśmy do czynienia z jednoznaczną identyfikacją osób. Dane konkretnej osoby, zapisane w postaci szablonu podczas pierwszego wejścia na obszar skanowania, byłyby bowiem przetwarzane celem ustalenia, czy podczas kolejnego wejścia to dokładnie ta sama osoba, jak wtedy, gdy szablon wizerunku został stworzony. Osoba, której dane dotyczą, może zaś nie wyrażać zgody na otrzymywanie ukierunkowanych dla niej personalnie reklam. W takiej sytuacji, aby tego typu system reklamy był zgodny z prawem, konieczne byłoby uprzednie uzyskiwanie zgód od poszczególnych osób na przetwarzanie ich danych biometrycznych.

Podsumowanie

Wykorzystując potencjał jaki wiąże się z wykorzystaniem technologii rozpoznawania twarzy, należy zwrócić szczególną uwagę na to, by jej projektowanie oraz wdrażanie odbywało się z poszanowaniem zasad ochrony praw osobowych. W szczególności, w sytuacji, gdy zastosowanie technologii rozpoznawania twarzy służy rozpoznaniu konkretnej osoby, wobec czego wymagana jest jej zgoda, uwzględnienie wymogów takiej zgody optymalnie powinno mieć miejsce na stosunkowo wczesnym etapie projektowania mechanizmów tej technologii.

W obecnie projektowanych rozwiązaniach zakłada się, że co do zasady przetwarzanie danych biometrycznych i innych danych osobowych związane ze stosowaniem systemów sztucznej inteligencji do identyfikacji biometrycznej, niezależnie od nowych przepisów, powinno nadal spełniać wszystkie wymogi wynikające z RODO. Oznacza to, że aktualnie obowiązujące, podstawowe zasady przetwarzania danych biometrycznych znajdą w dużej mierze zastosowanie po wprowadzeniu planowanych regulacji.

^[1] Analiza pt. „In-depth analysis – regulating facial recognition in the EU” z września 2021 r. przygotowana w ramach Biura Analiz Parlamentu Europejskiego EPRS.

^[2] Wytyczne Europejskiej Rady Ochrony Danych nr 3/2019, wersja 2.0. z 29 stycznia 2020 r. w sprawie przetwarzania danych osobowych za pośrednictwem urządzeń video.

^[3] Wytyczne Rady Europy dotyczące rozpoznawania twarzy z 29 stycznia 2021 r., wydane przez Komitet Konsultacyjny Konwencji o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych.