Europejska Rada Ochrony Danych Osobowych (dalej: EROD) przyjęła do konsultacji społecznych Wytyczne dotyczące korzystania z technologii biometrycznej rozpoznawania osób w oparciu o rysy twarzy (FRT) z uwagi na to, że coraz więcej organów ścigania (LEA) stosuje tę technologią lub zamierza ją stosować. Poniżej przedstawiamy syntezę przedmiotowego dokumentu i wyrażonego przez EROD stanowiska.
Technologia FRT ma szerokie zastosowanie i może służyć do uwierzytelniania lub identyfikacji osoby, zarówno w oparciu o nagranie video jak i fotografie. Może być wykorzystywana zarówno indywidualnie, ale także w oparciu o zdjęcia i nagrania video z udziałem dużej liczby osób.FRT opiera się na przetwarzaniu danych biometrycznych, dlatego obejmuje przetwarzanie danych osobowych szczególnej kategorii, o których mowa w art. 9 RODO. Z uwagi na to, że przedmiotowa technologia niewątpliwie w sposób znaczący ingeruje w sferę ochrony danych osobowych już w tzw. dyrektywie policyjnej LED przewidziano normy do jej stosowania. Zanim ustawodawca krajowy stworzy szczególną nową podstawę prawną dla jakiejkolwiek formy przetwarzania danych biometrycznych z wykorzystaniem rozpoznawania twarzy, obowiązany jest do przeprowadzenia w tym zakresie konsultacji z właściwym organem nadzorczym ds. ochrony danych osobowych.
EROD w swoich wytycznych ostrzega, że technologia FRT może być wadliwa, co może skutkować naruszeniami na dużą skalę. Z wykorzystywaniem przedmiotowej technologii może dochodzić do analizy tysięcy zbiorów danych, przy czym jednorazowy efekt może być niewielki, a błędna identyfikacja może naruszyć prawa i wolności dużej liczby osób. Technologia FRT ingeruje bowiem w podstawowe prawo do ochrony danych osobowych zagwarantowane w art. 8 Karty praw podstawowych Unii Europejskiej. EROD we wstępie wytycznych przypomina, że zakazane jest w zakresie zdalnej identyfikacji biometrycznej:
– dopasowywanie z wykorzystaniem FRT osób do pochodzenia etnicznego, orientacji seksualnej czy poglądów politycznych,
– wykorzystanie FRT do oceny stanu emocjonalnego podmiotu danych,
– wykorzystywanie w ramach FRT bazy danych stworzonej w oparciu o zdjęcia ogólnie dostępne online
JEDNA TECHNOLOGIA BIOMETRYCZNA, DWIE RÓŻNE FUNKCJE
Podobnie jak każdy proces biometryczny, rozpoznawanie twarzy może spełniać dwie różne funkcje:
- uwierzytelnienie osoby, mające na celu weryfikację, czy dana osoba jest tą za którą się podaje. W takim przypadku system porówna wcześniej zarejestrowany szablon biometryczny lub próbkę (np. paszport biometryczny) z jedną twarzą, na przykład twarzą osoby przekraczającą jakiś punkt kontrolny o określonym czasie w celu sprawdzenia czy to ta sama osoba. Ta funkcjonalność polega na porównaniu dwóch szablonów i jest to weryfikacja 1 do 1.
- identyfikacja osoby, mająca na celu odnalezienie osoby w grupie osób, w określonym obszarze lub bazie danych. W takim przypadku system musi przeprowadzić test na każdej uchwyconej twarzy, wygenerować szablon biometryczny i sprawdzić, czy pasuje on do osoby znanej systemowi. Funkcjonalność ta polega zatem na porównaniu jednego szablonu z bazą danych szablonów lub próbek. Nazywa się to również identyfikacją 1 do wielu.
W obu przypadkach stosowane techniki rozpoznawania twarzy opierają się na szacunkowym dopasowaniu między szablonami. Chociaż obie funkcje – uwierzytelnianie i identyfikacja – są różne, obie odnoszą się do przetwarzania danych biometrycznych dotyczących zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, a zatem stanowią przetwarzanie danych osobowych, a dokładniej przetwarzanie danych osobowych szczególnej kategorii.
Rozpoznawanie twarzy jest częścią szerszego spektrum technik przetwarzania obrazu wideo. Niektóre kamery mogą filmować osoby na określonym obszarze, w szczególności ich twarze, ale nie mogą być używane jako takie, aby automatycznie rozpoznawać osoby. To samo dotyczy zwykłej fotografii. Sam aparat fotograficzny nie jest system rozpoznawania twarzy, ponieważ zdjęcia ludzi muszą być przetwarzane w określony sposób w celu wyodrębnienia danych biometrycznych. Rozpoznawanie twarzy może być używane przez organy publiczne, ale również do użytku komercyjnego i ma szeroką gamę zastosowania, w szczególności w zakresie bezpieczeństwa.
System FRT może być stosowany w wielu różnych kontekstach: w osobistej relacji między użytkownikiem oraz usługą (dostęp do aplikacji/smartfona), dostęp do określonego miejsca (filtrowanie fizyczne) czy poszukiwanie sprawcy przestępstwa.
PRZYKŁADY UWIERZYTELNIANIA ZA POMOCĄ ROZPOZNAWANIA TWARZY
Uwierzytelnianie można zaprojektować tak, aby użytkownicy mieli nad nią pełną kontrolę, na przykład w celu umożliwienia dostępu do usługi lub aplikacji wyłącznie w środowisku domowym np. właściciel może z wykorzystaniem FRT odblokować swoje urządzenie mobilne. Uwierzytelnianie za pomocą rozpoznawania twarzy może być również wykorzystywane do sprawdzania tożsamości osoby, która chce skorzystać z usług oferowanych w sferze publicznej. Ponadto uwierzytelnianie za pomocą rozpoznawania twarzy może mieć na celu kontrolowanie fizycznego dostępu do określonych lokalizacji np. wejścia do budynku. Szablon twarzy wprowadzony do systemu jest wówczas porównywany z twarzą osoby wchodzącej np. zapisaną w dokumencie tożsamości.
Identyfikacja może być stosowana na wiele, jeszcze bardziej zróżnicowanych sposobów tj:
- poszukiwanie w bazie zdjęć tożsamości niezidentyfikowanej osoby (ofiar, podejrzanych itp.);
- monitorowanie ruchów człowieka w przestrzeni publicznej. Jego twarz jest porównywana z
wzorcem biometrycznym osób podróżujących lub przebywających w monitorowanym obszarze;
- rekonstruowanie drogi człowieka i jego późniejszych interakcji z innymi osobami;
- opóźnione porównanie tych samych elementów w celu np. identyfikacji kontaktów ludzkich;
- zdalna identyfikacja biometryczna osób poszukiwanych w przestrzeni publicznej. Wszystkie twarze uchwycone na żywo przez kamery monitoringu są sprawdzane krzyżowo w czasie rzeczywistym z bazą danych;
- automatyczne rozpoznawanie osób na obrazie w celu identyfikacji np. ich relacji na portalu społecznościowym;
- dostęp do usług bankowych np. niektóre bankomaty rozpoznają swoich klientów porównując twarz uchwyconą aparatem wbudowanym w urządzenie z bazą zdjęć twarzy posiadanych przez bank;
- śledzenie podróży pasażera na określonych etapach tejże podróży.
EROD podkreśla, że technologie rozpoznawania twarzy nie zapewniają ostatecznego wyniku, ale działają w oparciu o prawdopodobieństwo, że wizerunek twarzy odpowiada konkretnej osobie. Ważne jest również podkreślenie, że interwencja człowieka w ocenie finalnych wyników rozpoznawania twarzy z wykorzystaniem technologii FRT musi zapewniać wystarczającą gwarancję poszanowania praw jednostek i w szczególności prawo do ochrony danych osobowych, biorąc pod uwagę możliwe błędy, które mogą wynikać z takiego przetwarzania.
WYMAGANIA STAWIANE TECHNOLOGII FRT
Stosowanie technologii rozpoznawania twarzy jest nierozerwalnie związane z przetwarzaniem danych osobowych, w tym danych szczególnej kategorii. Ponadto ma bezpośredni lub pośredni wpływ na szereg podstawowych praw zapisanych w Karcie praw podstawowych UE. W związku z powyższym każde użycie technologii rozpoznawania twarzy powinno być przeprowadzane w ścisłej zgodności z obowiązującymi ramami prawnymi.
Akt prawny musi określać materialne i proceduralne warunki oraz obiektywne kryteria, według których służby państwowe mogą wdrażać technologię do stosowania. Dane muszą być przetwarzane w sposób zapewniający ochronę gwarantowaną przez art. 8 Karty praw podstawowych UE, który stanowi, że zgodność z wymogami ochrony i bezpieczeństwa podlega kontroli ze strony państwa przez niezależny organ.
Zgodnie z art. 10 dyrektywy o policji przetwarzanie szczególnych kategorii danych, takich jak dane biometryczne, dozwolone jest tylko wtedy, gdy jest to absolutnie konieczne i z zastrzeżeniem odpowiednich zabezpieczeń praw i wolności osoby, której dane dotyczą. Ponadto jest to dozwolone tylko w przypadku, gdy zezwala na to ustawodawstwo unijne lub państwa członkowskiego, lub jeżeli takie przetwarzanie dotyczy danych, które są w sposób oczywisty upublicznione przez osobę, której dane dotyczą.
Przepisy wprowadzające FRT muszą być transparentne, skonsultowane z organem nadzorczym państwa członkowskiego, a służby wdrażające technologie FRT obowiązane są wykonać DPiA.
W przypadku udostępniania fotografii online przez użytkowników sieci Internet, EROD uważa, że fakt, że osoba, której dane dotyczą, nie ustanowiła określonych funkcji prywatności, jest niewystarczający, aby uznać, że osoba, której dane dotyczą, w sposób oczywisty upubliczniła swoje dane osobowe i że dane te (np. fotografie) mogą być przetwarzane na szablony biometryczne i wykorzystywane do identyfikacji takiej osoby bez jej wyraźnej zgody. W tym zakresie nie może być mowy o domniemanej zgodzie na przetwarzania.
Stosowanie technologii rozpoznawania twarzy jest nierozerwalnie związane z przetwarzaniem znacznych ilości danych osobowych, w tym danych szczególnej kategorii. Dane biometryczne są trwale i nieodwołalnie związane z tożsamością osoby. Dlatego korzystanie z rozpoznawania twarzy ma bezpośredni lub pośredni wpływ na szereg podstawowych praw i wolności, które mogą wykraczać poza prywatność i ochronę danych, takich jak godność ludzka, swoboda przemieszczania się, wolność zgromadzeń i inne. Jest to szczególnie istotne w zakresie egzekwowania prawa przez służby państwowe.
EROD rozumie, że organy ścigania muszą korzystać z najlepszych możliwych narzędzi do szybkiej identyfikacji sprawców aktów terrorystycznych i innych poważnych przestępstw. Jednak takie narzędzia powinny być stosowane w ścisłej zgodności z obowiązującymi ramami prawnymi i tylko w przypadkach, gdy spełniają wymogi konieczności i proporcjonalności określone w art. 52 ust. 1 Karty praw podstawowych EU.
Istnieją pewne przypadki użycia technologii rozpoznawania twarzy, które stwarzają niedopuszczalnie wysokie ryzyko dla podmiotów danych. W szczególności zdalna identyfikacja biometryczna osób w przestrzeniach ogólnodostępnych stwarza wysokie ryzyko naruszenia prywatności jednostek i sprowadza się niejako do masowej inwigilacji społeczeństwa.
EROD daje wytyczne do stosowania przez służby przy wdrażaniu technologii FRT, zakładając, że FRT będzie nabywana od zewnętrznego dostawcy (podmiotu IT) jako gotowy produkt szyty na miarę służb.
Przed wdrożeniem systemu należy dokonać wyboru niezbędnych zestawów danych testowych do przeprowadzenia testów w środowisku informatycznym, aby można dostosować oprogramowanie do zamierzonego wykorzystania oraz odpowiednio przeszkolić personel.
Należy stosować się do zasady celowości i tym samym nie można wykorzystywać danych biometrycznych zbieranych w zamierzonym celu do innych celów, niż cel pierwotnie ustalony, dla którego dane zostały zebrane.
Przed wdrożeniem systemu należy zapewnić konsultacje z organem nadzorczym oraz wykonać obowiązkowo DPIA.
Właściciel systemu FRT obowiązany jest być w stałym kontakcie z działem IT, który czuwa nad jego wdrożeniem oraz Inspektorem Ochrony Danych. Właściciel procesu odpowiada także za dobór danych testowych.
Dział IT powinien odpowiadać ze aspekt techniczny funkcjonowania systemu oraz pomóc przy przeprowadzeniu DPiA za którą odpowiadać powinien właściciel procesu. Dział IT powinien wyjaśnić parametry systemu, zadbać o zaimplementowanie systemu w istniejącym już środowisku informatycznym oraz zapewnić odpowiednie zabezpieczenia techniczne w celu ochrony zbieranych danych i tworzonej w ten sposób bazy.
Użytkownikiem końcowym systemu będzie funkcjonariusz publiczny (np. policjant) który powinien być odpowiednio przeszkolony przez przedstawiciela działu IT oraz IOD . Ponadto ma obowiązek raportować właścicielowi procesu wszelkie zidentyfikowane przepadki negatywnego dopasowania (fałszywe dopasowania) oraz przypadki dyskryminacji jaka miała miejsca na skutek korzystania z systemu.
Za funkcjonowanie bazy danych powinien dodatkowo być odpowiedzialny menadżer bazy danych, który powinien dbać o respektowanie ustalonego okresu retencji dla danych zbieranych przez system.
Taka baza danych może być utworzona specjalnie dla przewidywanego projektu FRT lub może istnieć wcześniej. Właściciel procesu powinien najpierw dobrze zrozumieć proces prowadzący do wykorzystania FRT i upewnić się, że istnieje podstawa prawna do ugruntowania zamierzonego przypadku użytkowania takiego systemu. W związku z powyższym obowiązany jest oszacować::
- ile osób będzie podlegać FRT i w jakim okresie;
- dokonać oceny konieczności i proporcjonalności przetwarzania konkretnych danych osobowych;
- ustalić właściwą podstawę prawną dla takiego przetwarzania
Powodem wdrożenia FRT powinno być to, że jest to konieczne i proporcjonalne rozwiązanie dla problemów z jakimi borykają się służby. Właściciel procesu obowiązany jest do ustalenia celów takiego przetwarzania, którymi przykładowo może być: zapobieganie przestępstwom, prowadzenie dochodzeń w sprawach przestępstwa czy wykrywanie lub ściganie przestępców.
Właściciel procesu powinien również zapewnić, że dostawca FRT stosuje standardy bezpieczeństwa związane z danymi biometrycznymi, takie jak norma ISO/IEC 24745, która zawiera wytyczne dotyczące ochrony informacji biometrycznych zgodnie z różnymi wymaganiami dotyczącymi poufności, integralności i odnawialności podczas przechowywania i przesyłania danych.
Funkcjonowanie systemu FRT powinno być uregulowane również wewnętrznymi procedurami. Dokumentacja powinna zawierać ogólny opis systemu FRT, szczegółowy opis elementów systemu FRT i procesu jego tworzenia, szczegółowe informacje o monitorowaniu, funkcjonowaniu i kontroli nad systemem FRT oraz szczegółowy opis ryzyka i stosowanych środków zabezpieczających. W dokumentacji należy odnotowywać wszelkie zmiany systemy oraz dalsze DPiA. Dokument taki powinien również referować do procedur dot. ochrony danych osobowych, tak by każdy użytkownik miał świadomość, że naruszenia zidentyfikowane w tym obszarze, dotyczące szczególnej kategorii danych w większości przypadków będą skutkowały wysokim ryzykiem naruszenia praw i wolności podmiotów danych, które będzie trzeba notyfikować do organu nadzorczego.
Opracowanie: adw. Piotr Stankiewicz z Kancelarii prawnej „CKC SOLUTION”