Technologia rozpoznawania twarzy w obszarze ochrony porządku publicznego – wytyczne Europejskiej Rady Ochrony Danych

  • 24.07.2023

  • Autor: Marcin Kempisty

  • Analizy

Troska o spokój obywateli, ułatwienie codziennego funkcjonowania, podwyższenie standardów bezpieczeństwa – to zaledwie kilka z wielu możliwych przyczyn, dla których technologia rozpoznawania twarzy jest wciąż udoskonalana.

 

Dodawszy kwestie związane z przyspieszającym rozwojem sztucznej inteligencji znacząco ułatwiającej wdrożenie i skuteczne wykorzystywanie ww. technologii, przed unijnymi oraz krajowymi prawodawcami stoi nie lada wyzwanie. Oto bowiem społeczeństwa europejskie są w przededniu zaimplementowania na masową skalę rozwiązań, które z jednej strony mogą wyrugować z codziennego życia wiele zagrożeń, lecz z drugiej strony mogą przyczynić się do znaczącego ograniczenia praw podstawowych z prawem do prywatności na czele.

 

Unia Europejska wyszła naprzeciw temu wyzwaniu poprzez rozpoczęcie zaawansowanych prac nad AI Act, tj. aktem o sztucznej inteligencji, w ramach którego zostaną doprecyzowane kwestie odnoszące się do wykorzystywania sztucznej inteligencji między innymi w systemach rozpoznawania twarzy (na dzień pisania niniejszego artykułu dokument nie został jeszcze ostatecznie uchwalony). Jednocześnie Europejska Rada Ochrony Danych wydała Wytyczne 05/2022 w sprawie wykorzystywania technologii rozpoznawania twarzy w obszarze ochrony porządku publicznego. Wytyczne EROD nie są wiążące, niemniej stanowią swego rodzaju mapę drogową wskazującą najważniejsze kwestie, o jakich organy porządku publicznego powinny pamiętać przy okazji wdrażania omawianej technologii.

 

EROD oczywiście dostrzega rozwój rozpoznawania twarzy na płaszczyźnie biznesowej, na przykład w obszarze nowoczesnej bankowości, ale tylko w niewielkim stopniu dotyka tego zagadnienia. W opublikowanych Wytycznych EROD skupia się głównie na kwestiach związanych z zapewnieniem porządku publicznego przy pomocy tej technologii. Opierając się na Karcie Praw Podstawowych, Rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej jako RODO), oraz na Dyrektywie Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylająca decyzję ramową Rady 2008/977/WSiSW (dalej jako Dyrektywa), EROD wskazał kilka zasad, do których przestrzegania administratorzy danych osobowych korzystający z technologii rozpoznawania twarzy są zobligowani.

 

Jak działa system rozpoznawania twarzy? Należy wskazać. że w ramach omawianej technologii dochodzi do przetwarzania danych biometrycznych zgodnie z art. 4 pkt 14 RODO. Tego rodzaju systemy nie służą tylko do obserwacji wizerunku. Ich celem jest dokonanie szczegółowej analizy cech twarzy unikalnych dla każdej jednostki, na przykład odległości między oczami, szerokości czoła czy kształtu brwi. Korzystanie z tej technologii nie musi prowadzić tylko do identyfikacji osoby fizycznej, ale również do dokonywania predykcji na temat danej osoby na podstawie pozyskanych informacji o mimice. Film Raport mniejszości Stevena Spielberga nie jest tylko fantazją science-fiction opartą na prozie Philipa K. Dicka – w 2023 roku Francja przyjęła odpowiednie ustawodawstwo, na podstawie którego przyznała sobie prawo do korzystania z monitoringu opartego na algorytmach dokonujących wykrywania zagrożeń w czasie rzeczywistym między innymi na podstawie skanowania twarzy przechodniów. Tego rodzaju działanie zostało przez paryską legislację uzasadnione koniecznością zapewnienia bezpieczeństwa przy organizacji Igrzysk Olimpijskich w 2024 roku.

 

Mając na uwadze wysokie ryzyko naruszenia praw i wolności osób, których dane osobowe są w taki sposób przetwarzane, EROD przypomniał w Wytycznych, iż zgodnie z art. 10 Dyrektywy dane biometryczne mogą być przetwarzane tylko wtedy, gdy jest to bezwzględnie niezbędne, podlega odpowiednim zabezpieczeniom dla praw i wolności osoby, której dane dotyczą, jest dopuszczone prawem Unii lub prawem państwa członkowskiego, jest niezbędne dla ochrony żywotnych interesów osoby, której dane dotyczą, a także takie przetwarzanie dotyczy danych osobowych w sposób oczywisty upublicznionych przez osobę, której dane dotyczą.

 

Kolejnymi aspektami, które obligatoryjnie powinny być brane pod uwagę przez podmiot korzystający z tej technologii rozpoznawania twarzy, są wiarygodność, dokładność rozpoznawania twarzy oraz potencjalne ryzyka dla osób, których dane są w ten sposób przetwarzane w odniesieniu do wykorzystywanych urządzeń. Przede wszystkim należy zbadać, czy nie da się innymi metodami zrealizować celu przetwarzania danych biometrycznych poprzez tę technologię, tak aby nie naruszać prywatności podmiotów danych. Następnie należy pamiętać o tym, że ze względu na potencjalne konsekwencje zidentyfikowania danej osoby poprzez rozpoznanie twarzy wykorzystywane algorytmy identyfikacji twarzy muszą być możliwie najwyższej jakości. Innymi słowy, jeżeli administrator danych chce korzystać z systemu rozpoznawania twarzy w celu ewentualnego poszukiwania sprawców przestępstw, to nie może tego robić przy pomocy przestarzałych aplikacji, przez które mogłoby dojść do błędnej identyfikacji twarzy danej osoby.

 

EROD kładzie bowiem szczególny nacisk na kwestie wskazane w europejskiej Karcie Praw Podstawowych, w szczególności na te odnoszące się do godności ludzkiej, poszanowania życia prywatnego oraz prawa do ochrony danych osobowych. Jednocześnie wskazuje, że nierównowaga między jednostkami a podmiotami dbającymi o utrzymanie porządku publicznego jest na tyle duża, że tego rodzaju ingerowanie w prywatną sferę człowieka musi być poprzedzone testami proporcjonalności, posiadaniem odpowiedniej podstawy prawnej, identyfikacją istnienia niezbędnej konieczności do przetwarzania danych osobowych w taki sposób, implementacją rozwiązania zgodnie z rodowskimi zasadami privacy by design oraz privacy by default, a także zapewnieniem zasady rozliczalności poprzez możliwość śledzenia, kto, kiedy i w jaki sposób miał dostęp do danych i ewentualnie dokonywał na nich stosownych operacji.

 

Dodatkowo należy jeszcze przytoczyć art. 11 Dyrektywy, zgodnie z którym Państwa członkowskie zapewniają, by decyzje, które opierają się wyłącznie na zautomatyzowanym, w tym profilowaniu, i mają niekorzystne skutki prawne dla osoby, której dane dotyczą, lub poważnie na nią wpływają, były zakazane, chyba że dopuszcza je prawo Unii lub prawo państwa członkowskiego, któremu podlega administrator i które przewiduje odpowiednie zabezpieczenia praw i wolności osoby, której dane dotyczą, a przynajmniej prawo do uzyskania interwencji ludzkiej ze strony administratora. Te decyzje nie mogą opierać się na danych osobowych szczególnych kategorii, chyba że istnieją właściwe środki ochrony praw, wolności i uzasadnionych interesów osoby, której dane dotyczą. Profilowanie skutkujące dyskryminacją osób fizycznych na podstawie danych osobowych szczególnych kategorii jest zabronione zgodnie z prawem Unii. Według EROD stosowanie powyższego przepisu powinno być nawet rozszerzone w tym sensie, iż interwencja ludzka nie może zawsze wykluczyć stronniczości i pomyłek w traktowaniu podmiotów danych.

 

 

 

 

Autor

Marcin Kempisty

Prawnik, specjalista z zakresu prawa ochrony danych osobowych. Absolwent Wydziału Prawa i Administracji Uniwersytetu Warszawskiego.

Doświadczenie w zakresie prawa ochrony danych osobowych nabył w Urzędzie Ochrony Danych Osobowych, gdzie w Departamencie Skarg odpowiadał za merytoryczne rozpatrywanie skarg indywidualnych składanych w związku
z naruszeniami prawa do ochrony danych osobowych dokonywanymi przez podmioty publiczne oraz prywatne. Sporządzał pisma procesowe w sprawach prowadzonych przez sądy administracyjne.

Specjalizował się w tematyce ochrony danych osobowych dotyczącej branży telekomunikacyjnej, spółdzielczej, a także związanej z funkcjonowaniem jednostek samorządu terytorialnego. Interesuje się zagadnieniami przetwarzania danych osobowych przy wykorzystaniu nowoczesnych technologii.