Technologia rozpoznawania twarzy w kontekście ochrony danych osobowych

Współcześnie, na skutek postępującego rozwoju technologicznego, coraz częściej mamy do czynienia ze stosowaniem technologii rozpoznawania twarzy, zarówno przez podmioty publiczne, jak i prywatne. Zastosowanie omawianej technologii wywiera ogromny wpływ na prawo osób do prywatności oraz prawo do ochrony danych osobowych. Wobec tego niezwykle istotne staje się uzyskanie odpowiedzi na pytanie: jakie zasady powinny być stosowane w przypadku używania technologii rozpoznawania twarzy, aby zapewnić zgodność z prawem ochrony danych osobowych.

Zasady przetwarzania danych biometrycznych

Dane osobowe, takie jak wizerunek twarzy, przetwarzane specjalnymi metodami technicznymi, pozwalają nie tylko jednoznacznie zidentyfikować i określić daną osobę, lecz są to też dane niezmienne. Ewentualne naruszenie ochrony danych osobowych tej szczególnej kategorii (np. wyciek danych tego rodzaju) może powodować wysokie ryzyko naruszenia praw i wolności osób. Dlatego też przetwarzanie takich danych osobowych dopuszczalne jest tylko wyjątkowo na podstawie art. 9 ust. 2 RODO, m.in. za wyraźną zgodą osób fizycznych, w celu ochrony ich żywotnych interesów lub gdy przetwarzanie jest niezbędne ze względu na ważny interes publiczny.

Rozpoznawanie twarzy to automatyczne przetwarzanie obrazów cyfrowych zawierających twarze osób w celu identyfikacji lub weryfikacji tych osób za pomocą szablonów twarzy. Nie każde przetwarzanie obrazów będzie jednak wiązało się z przetwarzaniem danych wrażliwych. Do określenia, czy w danym przypadku dochodzi do przetwarzania danych wrażliwych istotne znaczenie będzie odgrywał kontekst przetwarzania tych obrazów. Obrazy zostaną objęte definicją danych biometrycznych tylko wtedy, gdy będą przetwarzane za pomocą specjalnego środka technicznego, który pozwala na jednoznaczną identyfikację lub uwierzytelnienie osoby fizycznej.

Odbierz pakiet bezpłatnych poradników i mikroszkoleń RODO

Dołącz do grona czytelników naszego biuletynu, odbierz bezpłatny pakiet i trzymaj rękę na pulsie.
ODBIERZ PAKIET
Wskazówki dotyczące zasad, które powinny być przestrzegane w przypadku stosowania technologii rozpoznawania twarzy, w tym rozpoznawania twarzy na żywo, w celu zagwarantowania praw człowieka i podstawowych wolności każdej osoby, w tym prawa do ochrony danych osobowych, możemy znaleźć w Wytycznych dotyczących rozpoznawania twarzy, przyjętych w dniu 28 stycznia 2021 r. przez Komitet Konwencji nr 108 Rady Europy o ochronie osób w związku z automatycznym przetwarzaniem.

Wytyczne dla podmiotów wykorzystujących technologie rozpoznawania twarzy

Zgodnie z Wytycznymi dotyczącymi rozpoznawania twarzy, podmioty przetwarzające dane biometryczne przy zastosowaniu technologii rozpoznawania twarzy są zobligowane do przestrzegania wszystkich obowiązujących zasad i przepisów dotyczących ochrony danych osobowych. Przede wszystkim muszą wykazać, że jej zastosowanie jest niezbędne i proporcjonalne w określonym kontekście ich stosowania oraz nie narusza praw osób, których te dane dotyczą. Ponadto podmioty wykorzystujące technologie rozpoznawania twarzy muszą zapewnić, aby użycie tej technologii nie miało wpływu na osoby, które zetkną się z nią w sposób przypadkowy.

Wykorzystywanie technologii rozpoznawania twarzy przez podmioty prywatne wymaga wyraźnej, konkretnej, dobrowolnej i świadomej zgody osoby, której dane dotyczą. W tym kontekście szczególną uwagę należy zwrócić na jakość wyrażanej zgody. W celu zapewnienia dobrowolności zgody, osobom, których dane dotyczą, należy zaoferować alternatywne rozwiązania w stosunku do korzystania z technologii rozpoznawania twarzy (np. za pomocą hasła lub identyfikatora), które są łatwe w użyciu. Jeśli są zbyt długie lub skomplikowane w porównaniu z technologią rozpoznawania twarzy, takiego wyboru nie można uznać za prawdziwy.

Przejrzystość i rzetelność

Przy wykorzystywaniu technologii rozpoznawania twarzy niezmiernie istotny element stanowi dostarczenie wszelkich niezbędnych informacji na temat tego sposobu przetwarzania danych

Czynniki decydujące o zapewnieniu przejrzystości to m.in.: czy informacje są przekazywane osobom fizycznym, kontekst zbierania danych, rozsądne oczekiwania co do sposobu wykorzystania danych, czy rozpoznawanie twarzy jest jedynie cechą produktu lub usługi, czy stanowi integralną część samej usługi. Przekazane informacje muszą również określać, jakie prawa i środki ochrony prawnej przysługują osobom, których dane dotyczą.

Polityka prywatności lub materiały informacyjne dotyczące technologii rozpoznawania twarzy, poza typowymi informacjami przekazywanymi na gruncie RODO, powinny zawierać również informacje dotyczące zatrzymywania, usuwania lub pozbawiania elementów identyfikacyjnych danych przetwarzanych w formie rozpoznawania twarzy.

Ograniczenie celu, minimalizacja danych i ograniczenie czasu przechowywania

Dane osobowe podlegające przetwarzaniu powinny być zbierane w wyraźnych, konkretnych i prawnie uzasadnionych celach i nie mogą być przetwarzane w sposób niezgodny z tymi celami. Ponadto, przed jakimkolwiek kolejnym przetwarzaniem należy rozważyć, czy cele nowego przetwarzania są zgodne z pierwotnie określonymi celami. W przeciwnym razie nowe przetwarzanie będzie wymagało odrębnej podstawy prawnej.

Funkcja IOD - to się dobrze przekazuje

Podmioty wykorzystujące technologie rozpoznawania twarzy muszą przestrzegać zasady minimalizacji danych, która wymaga, aby przetwarzane były tylko niezbędne informacje, a nie wszystkie dostępne. Ponadto konieczne jest ustalenie okresu przechowywania, który nie może być dłuższy niż okres niezbędny do konkretnego celu przetwarzania oraz zapewnienie usunięcia szablonów biometrycznych po zakończeniu tego celu. Przy określaniu okresu przechowywania należy przede wszystkim wziąć pod uwagę biometryczny charakter danych osobowych.

Prawidłowość

Podmioty wykorzystujące technologie rozpoznawania twarzy muszą zapewnić prawidłowość i uaktualnianie szablonów biometrycznych i obrazów cyfrowych. Jakość obrazów i szablonów biometrycznych musi być sprawdzana, aby zapobiec potencjalnym fałszywym dopasowaniom, ponieważ niska jakość obrazów może spowodować wzrost liczby błędów. W przypadku błędnych dopasowań konieczne jest podjęcie wszelkich niezbędnych działań mających na celu skorygowanie przyszłych błędów oraz zapewnienie prawidłowości obrazów cyfrowych i szablonów biometrycznych.

Bezpieczeństwo

Z uwagi na to, że naruszenie ochrony danych w przypadku technologii rozpoznawania twarzy może mieć szczególnie poważne konsekwencje dla osób, których te dane dotyczą, należy wdrożyć możliwie najskuteczniejsze środki bezpieczeństwa, zarówno na poziomie technicznym, jak i organizacyjnym, w celu ochrony danych dotyczących rozpoznawania twarzy i zestawów obrazów przed utratą i nieuprawnionym dostępem lub wykorzystaniem na wszystkich etapach przetwarzania (niezależnie od tego, czy chodzi o pozyskiwanie, przekazywanie czy przechowywanie).

Środki bezpieczeństwa powinny ewoluować w czasie i w odpowiedzi na zmieniające się zagrożenia i zidentyfikowane podatności. Powinny być również proporcjonalne do wrażliwości danych, kontekstu wykorzystywania określonej technologii rozpoznawania twarzy, jej celów i prawdopodobieństwa wyrządzenia szkody osobom fizycznym

Rozliczalność

Podmioty stosujące technologie rozpoznawania twarzy są zobowiązane do uwzględnienia następujących środków organizacyjnych:

  • wdrażanie przejrzystych polityk, procedur i praktyk w celu zapewnienia, że ochrona praw osób, których dane dotyczą, leży u podstaw stosowania przez nie technologii rozpoznawania twarzy;
  • publikowanie sprawozdań na temat przejrzystości dotyczących konkretnego wykorzystania technologii rozpoznawania twarzy;
  • ustanawianie i dostarczanie programów szkoleniowych i procedur audytu dla osób odpowiedzialnych za przetwarzanie danych dotyczących rozpoznawania twarzy;
  • ustanawianie wewnętrznych komitetów weryfikacyjnych w celu oceny i zatwierdzania wszelkiego przetwarzania danych dotyczących rozpoznawania twarzy;
  • umowne rozszerzenie odpowiednich wymogów przewidzianych dla dostawców usług będących stronami trzecimi, partnerów biznesowych lub innych podmiotów wykorzystujących technologię rozpoznawania twarzy i odmawianie dostępu podmiotom, które tych wymogów nie spełniają.

Ocena skutków dla ochrony danych

E-learning RODO to już standard!

Pracownicy zdobywają wiedzę o ochronie danych, przystępnie i praktycznie. Testy końcowe potwierdzają efekty szkolenia,a zaświadczenie je dokumentuje.
ZOBACZ WIĘCEJ
Podmioty wykorzystujące technologie rozpoznawania twarzy są zobowiązane dokonać oceny skutków przed przetwarzaniem, ponieważ stosowanie tego rodzaju technologii wiąże się z przetwarzaniem danych biometrycznych i stanowi wysokie ryzyko naruszenia podstawowych praw osób, których dane dotyczą. Podczas dokonywania oceny skutków dla ochrony danych podmioty powinny nie tylko rozpoznać ryzyko wynikające z potencjalnego przetwarzania, ale także muszą rozważyć niezbędne środki łagodzące w celu zaradzenia tym zagrożeniom poprzez podjęcie niezbędnych działań technicznych i organizacyjnych. W tej ocenie wyjaśnią one m.in.:

  • zgodność z prawem stosowania tych technologii,
  • jakie prawa podstawowe są zagrożone w procesie przetwarzania biometrycznego,
  • podatność na zagrożenia osób, których dane dotyczą,
  • w jaki sposób można skutecznie ograniczyć te zagrożenia.

W trakcie przygotowywania oceny skutków dla ochrony danych podmioty muszą współpracować z zainteresowanymi stronami, w tym z osobami, których to dotyczy, w celu oceny potencjalnych skutków z ich perspektywy. Oceny takie muszą być przeprowadzane w regularnych odstępach czasu. Po zakończeniu oceny podmioty powinny ją opublikować w celu uzyskania opinii publicznej na temat potencjalnego zastosowania technologii rozpoznawania twarzy.

Ochrona danych w fazie projektowania

Podmioty wykorzystujące technologie rozpoznawania twarzy do celów identyfikacji lub weryfikacji muszą zapewnić, aby wykorzystywane przez nie produkty lub usługi były zaprojektowane do przetwarzania danych biometrycznych zgodnie z zasadami ograniczenia celu, minimalizacji danych i ograniczonego okresu przechowywania danych, a także wdrożyć wszystkie inne niezbędne zabezpieczenia. Powyższe powinno odbywać się na etapie ustalania cech technicznych tych technologii (tj. w fazie projektowania tej technologii), aby zagwarantować zgodność ich stosowania z prawem do ochrony danych.

Czytaj także:

Szkolenie RODO od podstaw

Szkolenie dla osób, które zaczynają swoją „przygodę” z RODO i z funkcją inspektora ochrony danych.

Zobacz więcej
Tomasz Ochocki
Tomasz Ochocki
Kierownik zespołu merytorycznego.
Ekspert ds. ochrony danych.
Audytor wiodący systemu zarządzania bezpieczeństwem informacji (ISO/IEC 27001:2013), zarządzania ciągłością działania (ISO 22301) oraz audytor wewnętrzny ISO/IEC 27701. Ukończył podyplomowe studia z zakresu ochrony danych osobowych i informacji niejawnych oraz analizy bezpieczeństwa i zagrożeń terrorystycznych.

Autor oraz prelegent dedykowanych szkoleń pracowniczych z zakresu bezpieczeństwa informacji.

Współautor opracowania: "RODO Nawigator", "DODO Nawigator" oraz książki: "Ustawa o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Komentarz".

Adw. Łukasz Pociecha
Adw. Łukasz Pociecha
Ekspert ds. ochrony danych.
Swoje doświadczenie zawodowe zdobywał współpracując z kancelariami specjalizującymi się w obsłudze przedsiębiorców, w tym klientów korporacyjnych. Audytor wiodący ISO/IEC 27001.

Do jego kompetencji należy kompleksowa obsługa klientów w zakresie ochrony danych osobowych i bezpieczeństwa informacji, w tym m.in.: sporządzenie opinii prawnych i umów, prowadzenie szkoleń oraz przeprowadzanie audytów. Posiada aktualny certyfikat metodyki zarządzania projektami PRINCE2.

Współautor książki: "Ustawa o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Komentarz".

Barbara Matasek
Barbara Matasek
Ekspert ds. ochrony danych
Doktorant w Kolegium Prawa Akademii Leona Koźmińskiego w Warszawie. Odpowiada za przeprowadzanie audytów, przygotowanie dokumentacji w zakresie ochrony danych osobowych oraz doradztwo prawne.

Swoje zainteresowania skupia wokół prawa handlowego i prawa cywilnego, ze szczególnym uwzględnieniem zagadnień dotyczących ochrony danych osobowych. Doświadczenie zawodowe zdobywała pracując w kancelariach prawnych oraz jako asystent sędziego.

Współautorka poradnika: "Jak przygotować się do kontroli".