Zamknij
Zamknij
ODO 24 logo
EN
PL
Strona główna  •  Wiedza  •  Blog  •  Technologia rozpoznawania twarzy w kontekście ochrony danych osobowych

Technologia rozpoznawania twarzy w kontekście ochrony danych osobowych

30 września 2021, Compliance

Współcześnie, na skutek postępującego rozwoju technologicznego, coraz częściej mamy do czynienia ze stosowaniem technologii rozpoznawania twarzy, zarówno przez podmioty publiczne, jak i prywatne. Zastosowanie omawianej technologii wywiera ogromny wpływ na prawo osób do prywatności oraz prawo do ochrony danych osobowych. Wobec tego niezwykle istotne staje się uzyskanie odpowiedzi na pytanie: jakie zasady powinny być stosowane w przypadku używania technologii rozpoznawania twarzy, aby zapewnić zgodność z prawem ochrony danych osobowych.
Autor:
adw. Magdalena Piasecka

Spis treści

Zasady przetwarzania danych biometrycznych

Dane osobowe, takie jak wizerunek twarzy, przetwarzane specjalnymi metodami technicznymi, pozwalają nie tylko jednoznacznie zidentyfikować i określić daną osobę, lecz są to też dane niezmienne. Ewentualne naruszenie ochrony danych osobowych tej szczególnej kategorii (np. wyciek danych tego rodzaju) może powodować wysokie ryzyko naruszenia praw i wolności osób. Dlatego też przetwarzanie takich danych osobowych dopuszczalne jest tylko wyjątkowo na podstawie art. 9 ust. 2 RODO, m.in. za wyraźną zgodą osób fizycznych, w celu ochrony ich żywotnych interesów lub gdy przetwarzanie jest niezbędne ze względu na ważny interes publiczny.

Rozpoznawanie twarzy to automatyczne przetwarzanie obrazów cyfrowych zawierających twarze osób w celu identyfikacji lub weryfikacji tych osób za pomocą szablonów twarzy. Nie każde przetwarzanie obrazów będzie jednak wiązało się z przetwarzaniem danych wrażliwych. Do określenia, czy w danym przypadku dochodzi do przetwarzania danych wrażliwych istotne znaczenie będzie odgrywał kontekst przetwarzania tych obrazów. Obrazy zostaną objęte definicją danych biometrycznych tylko wtedy, gdy będą przetwarzane za pomocą specjalnego środka technicznego, który pozwala na jednoznaczną identyfikację lub uwierzytelnienie osoby fizycznej.

Wskazówki dotyczące zasad, które powinny być przestrzegane w przypadku stosowania technologii rozpoznawania twarzy, w tym rozpoznawania twarzy na żywo, w celu zagwarantowania praw człowieka i podstawowych wolności każdej osoby, w tym prawa do ochrony danych osobowych, możemy znaleźć w Wytycznych dotyczących rozpoznawania twarzy, przyjętych w dniu 28 stycznia 2021 r. przez Komitet Konwencji nr 108 Rady Europy o ochronie osób w związku z automatycznym przetwarzaniem.

Wytyczne dla podmiotów wykorzystujących technologie rozpoznawania twarzy

Zgodnie z Wytycznymi dotyczącymi rozpoznawania twarzy, podmioty przetwarzające dane biometryczne przy zastosowaniu technologii rozpoznawania twarzy są zobligowane do przestrzegania wszystkich obowiązujących zasad i przepisów dotyczących ochrony danych osobowych. Przede wszystkim muszą wykazać, że jej zastosowanie jest niezbędne i proporcjonalne w określonym kontekście ich stosowania oraz nie narusza praw osób, których te dane dotyczą. Ponadto podmioty wykorzystujące technologie rozpoznawania twarzy muszą zapewnić, aby użycie tej technologii nie miało wpływu na osoby, które zetkną się z nią w sposób przypadkowy.

Wykorzystywanie technologii rozpoznawania twarzy przez podmioty prywatne wymaga wyraźnej, konkretnej, dobrowolnej i świadomej zgody osoby, której dane dotyczą. W tym kontekście szczególną uwagę należy zwrócić na jakość wyrażanej zgody. W celu zapewnienia dobrowolności zgody, osobom, których dane dotyczą, należy zaoferować alternatywne rozwiązania w stosunku do korzystania z technologii rozpoznawania twarzy (np. za pomocą hasła lub identyfikatora), które są łatwe w użyciu. Jeśli są zbyt długie lub skomplikowane w porównaniu z technologią rozpoznawania twarzy, takiego wyboru nie można uznać za prawdziwy.

Przejrzystość i rzetelność

Przy wykorzystywaniu technologii rozpoznawania twarzy niezmiernie istotny element stanowi dostarczenie wszelkich niezbędnych informacji na temat tego sposobu przetwarzania danych

Czynniki decydujące o zapewnieniu przejrzystości to m.in.: czy informacje są przekazywane osobom fizycznym, kontekst zbierania danych, rozsądne oczekiwania co do sposobu wykorzystania danych, czy rozpoznawanie twarzy jest jedynie cechą produktu lub usługi, czy stanowi integralną część samej usługi. Przekazane informacje muszą również określać, jakie prawa i środki ochrony prawnej przysługują osobom, których dane dotyczą.

Polityka prywatności lub materiały informacyjne dotyczące technologii rozpoznawania twarzy, poza typowymi informacjami przekazywanymi na gruncie RODO, powinny zawierać również informacje dotyczące zatrzymywania, usuwania lub pozbawiania elementów identyfikacyjnych danych przetwarzanych w formie rozpoznawania twarzy.

Ograniczenie celu, minimalizacja danych i ograniczenie czasu przechowywania

Dane osobowe podlegające przetwarzaniu powinny być zbierane w wyraźnych, konkretnych i prawnie uzasadnionych celach i nie mogą być przetwarzane w sposób niezgodny z tymi celami. Ponadto, przed jakimkolwiek kolejnym przetwarzaniem należy rozważyć, czy cele nowego przetwarzania są zgodne z pierwotnie określonymi celami. W przeciwnym razie nowe przetwarzanie będzie wymagało odrębnej podstawy prawnej.

Funkcja IOD - to się dobrze przekazuje

Podmioty wykorzystujące technologie rozpoznawania twarzy muszą przestrzegać zasady minimalizacji danych, która wymaga, aby przetwarzane były tylko niezbędne informacje, a nie wszystkie dostępne. Ponadto konieczne jest ustalenie okresu przechowywania, który nie może być dłuższy niż okres niezbędny do konkretnego celu przetwarzania oraz zapewnienie usunięcia szablonów biometrycznych po zakończeniu tego celu. Przy określaniu okresu przechowywania należy przede wszystkim wziąć pod uwagę biometryczny charakter danych osobowych.

Prawidłowość

Podmioty wykorzystujące technologie rozpoznawania twarzy muszą zapewnić prawidłowość i uaktualnianie szablonów biometrycznych i obrazów cyfrowych. Jakość obrazów i szablonów biometrycznych musi być sprawdzana, aby zapobiec potencjalnym fałszywym dopasowaniom, ponieważ niska jakość obrazów może spowodować wzrost liczby błędów. W przypadku błędnych dopasowań konieczne jest podjęcie wszelkich niezbędnych działań mających na celu skorygowanie przyszłych błędów oraz zapewnienie prawidłowości obrazów cyfrowych i szablonów biometrycznych.

Bezpieczeństwo

Z uwagi na to, że naruszenie ochrony danych w przypadku technologii rozpoznawania twarzy może mieć szczególnie poważne konsekwencje dla osób, których te dane dotyczą, należy wdrożyć możliwie najskuteczniejsze środki bezpieczeństwa, zarówno na poziomie technicznym, jak i organizacyjnym, w celu ochrony danych dotyczących rozpoznawania twarzy i zestawów obrazów przed utratą i nieuprawnionym dostępem lub wykorzystaniem na wszystkich etapach przetwarzania (niezależnie od tego, czy chodzi o pozyskiwanie, przekazywanie czy przechowywanie).

Środki bezpieczeństwa powinny ewoluować w czasie i w odpowiedzi na zmieniające się zagrożenia i zidentyfikowane podatności. Powinny być również proporcjonalne do wrażliwości danych, kontekstu wykorzystywania określonej technologii rozpoznawania twarzy, jej celów i prawdopodobieństwa wyrządzenia szkody osobom fizycznym

Rozliczalność

Podmioty stosujące technologie rozpoznawania twarzy są zobowiązane do uwzględnienia następujących środków organizacyjnych:

  • wdrażanie przejrzystych polityk, procedur i praktyk w celu zapewnienia, że ochrona praw osób, których dane dotyczą, leży u podstaw stosowania przez nie technologii rozpoznawania twarzy;
  • publikowanie sprawozdań na temat przejrzystości dotyczących konkretnego wykorzystania technologii rozpoznawania twarzy;
  • ustanawianie i dostarczanie programów szkoleniowych i procedur audytu dla osób odpowiedzialnych za przetwarzanie danych dotyczących rozpoznawania twarzy;
  • ustanawianie wewnętrznych komitetów weryfikacyjnych w celu oceny i zatwierdzania wszelkiego przetwarzania danych dotyczących rozpoznawania twarzy;
  • umowne rozszerzenie odpowiednich wymogów przewidzianych dla dostawców usług będących stronami trzecimi, partnerów biznesowych lub innych podmiotów wykorzystujących technologię rozpoznawania twarzy i odmawianie dostępu podmiotom, które tych wymogów nie spełniają.

Ocena skutków dla ochrony danych

E-learning RODO to już standard!

Pracownicy zdobywają wiedzę o ochronie danych, przystępnie i praktycznie. Testy końcowe potwierdzają efekty szkolenia,a zaświadczenie je dokumentuje.
ZOBACZ WIĘCEJ
Podmioty wykorzystujące technologie rozpoznawania twarzy są zobowiązane dokonać oceny skutków przed przetwarzaniem, ponieważ stosowanie tego rodzaju technologii wiąże się z przetwarzaniem danych biometrycznych i stanowi wysokie ryzyko naruszenia podstawowych praw osób, których dane dotyczą. Podczas dokonywania oceny skutków dla ochrony danych podmioty powinny nie tylko rozpoznać ryzyko wynikające z potencjalnego przetwarzania, ale także muszą rozważyć niezbędne środki łagodzące w celu zaradzenia tym zagrożeniom poprzez podjęcie niezbędnych działań technicznych i organizacyjnych. W tej ocenie wyjaśnią one m.in.:

  • zgodność z prawem stosowania tych technologii,
  • jakie prawa podstawowe są zagrożone w procesie przetwarzania biometrycznego,
  • podatność na zagrożenia osób, których dane dotyczą,
  • w jaki sposób można skutecznie ograniczyć te zagrożenia.

W trakcie przygotowywania oceny skutków dla ochrony danych podmioty muszą współpracować z zainteresowanymi stronami, w tym z osobami, których to dotyczy, w celu oceny potencjalnych skutków z ich perspektywy. Oceny takie muszą być przeprowadzane w regularnych odstępach czasu. Po zakończeniu oceny podmioty powinny ją opublikować w celu uzyskania opinii publicznej na temat potencjalnego zastosowania technologii rozpoznawania twarzy.

Ochrona danych w fazie projektowania

Podmioty wykorzystujące technologie rozpoznawania twarzy do celów identyfikacji lub weryfikacji muszą zapewnić, aby wykorzystywane przez nie produkty lub usługi były zaprojektowane do przetwarzania danych biometrycznych zgodnie z zasadami ograniczenia celu, minimalizacji danych i ograniczonego okresu przechowywania danych, a także wdrożyć wszystkie inne niezbędne zabezpieczenia. Powyższe powinno odbywać się na etapie ustalania cech technicznych tych technologii (tj. w fazie projektowania tej technologii), aby zagwarantować zgodność ich stosowania z prawem do ochrony danych.

Czytaj także:

15 kwietnia 2024

Dyrektywa NIS 2: Wzmocnienie Cyberbezpieczeństwa w UE

18 marca 2024

Ochrona sygnalistów - wyzwania i zgodność z RODO

11 marca 2024

Ranking aplikacji dla sygnalistów - zgodne z RODO

Szkolenia

Dla IOD i pracowników -
otwarte, zamknięte,
e-learning
Najczęstsze błędy przy zawieraniu umów powierzenia

Zapisz się na biuletyn ODO 24

Każdy czytelnik naszego biuletunu otrzymuje pakiet 4 bezpłatnych poradników i 4 mikroszkoleń RODO.

Biuletyn z nowościami z obszaru ochrony danych osobowych i bezpieczeństwa informacji wysyłamy raz w miesiącu.

Administratorem Twoich danych jest ODO 24 sp. z o.o. z siedzibą w Warszawie (03-812) przy ul. Kamionkowskiej 45. Twoje dane są przetwarzane w celu świadczenia usługi biuletyn informacyjny na zasadach określonych w Regulaminie ŚUDE. Więcej informacji na temat procesu przetwarzania danych osobowych oraz przysługujących Ci praw uzyskasz w Polityce prywatności.

Potwierdź swój adres e-mail

Wysłaliśmy do Ciebie wiadomość.

Tylko jedno kliknięcie dzieli Cię od bezpłatnego pakietu poradników i szkoleń. Potwierdź swój adres e-mail klikając w link, który znajdziesz w wiadomości od ODO 24.

Jeżeli e-mail do Ciebie nie dotrze - sprawdź w folderze SPAM. Aby w przyszłości to się nie powtórzyło oznacz wiadomość jako pożądaną (klikniknij prawym przyciskiem myszy i wybierz “Oznacz jako wiadomość pożądaną”).

Administratorem Twoich danych jest ODO 24 sp. z o.o. z siedzibą w Warszawie (03-812) przy ul. Kamionkowskiej 45. Twoje dane są przetwarzane w celu świadczenia usługi biuletyn informacyjny na zasadach określonych w Regulaminie ŚUDE. Więcej informacji na temat procesu przetwarzania danych osobowych oraz przysługujących Ci praw uzyskasz w Polityce prywatności.
Potwierdź swój adres e-mail
Wejdź na swoją skrzynkę pocztową, otwórz wiadomość od ODO 24 i potwierdź adres e-mail, klikając w link.
Jeżeli nie znajdziesz naszej wiadomości - sprawdź w folderze SPAM. Aby w przyszłości to się nie powtórzyło oznacz wiadomość jako pożądaną (klikniknij prawym przyciskiem myszy i wybierz “Oznacz jako wiadomość pożądaną”).
Odbierz bezpłatny pakiet 4 poradników
i 4 szkoleń e-learningowych RODO
4x4 - Odbierz bezpłatny pakiet 4 poradników i 4 szkoleń RODO
Administratorem Twoich danych jest ODO 24 sp. z o.o. z siedzibą w Warszawie (03-812) przy ul. Kamionkowskiej 45. Twoje dane są przetwarzane w celu świadczenia usługi biuletyn informacyjny na zasadach określonych w Regulaminie ŚUDE. Więcej informacji na temat procesu przetwarzania danych osobowych oraz przysługujących Ci praw uzyskasz w Polityce prywatności.
Administratorem Twoich danych jest ODO 24 sp. z o. o. >>>

Potwierdź swój adres e-mail

Wysłaliśmy do Ciebie wiadomość.

Tylko jedno kliknięcie dzieli Cię od bezpłatnego pakietu poradników i szkoleń. Potwierdź swój adres e-mail klikając w link, który znajdziesz w wiadomości od ODO 24.

Jeżeli e-mail do Ciebie nie dotrze - sprawdź w folderze SPAM. Aby w przyszłości to się nie powtórzyło oznacz wiadomość jako pożądaną (klikniknij prawym przyciskiem myszy i wybierz “Oznacz jako wiadomość pożądaną”).

Zamknij
Szukaj w ODO24.pl