Ochrona Danych Osobowych

Stanowisko Komisji Europejskiej w sprawie systemów do zdalnego rozpoznawania twarzy

Komisja Europejska od wielu lat zgłasza obawy dotyczące rozwoju systemów sztucznej inteligencji, które w znacznym stopniu mogą powodować naruszanie prawa do prywatności oraz bezpieczeństwa danych osobowych obywateli państw członkowskich.

Na przestrzeni ostatnich lat wydanych zostało wiele wytycznych Komisji Europejskiej oraz Grupy Roboczej Art. 29 (obecnie: Europejskiej Rada Ochrony Danych) wskazujących zasady dopuszczalności stosowania zaawansowanych systemów technologicznych, takich jak między innymi te służące do zdalnego rozpoznawania twarzy. Wydarzenia, które miały miejsce w Honkongu tj. protesty trwające od czerwca 2019 r., podczas których organy ścigania posługiwały się inteligentnymi kamerami do rozpoznawania twarzy demonstrantów, przyciągnęły uwagę całego świata na nasilający się problem ochrony prywatności obywateli. Na ten temat wypowiedziała się także wiceprzewodnicząca Komisji Europejskiej do spraw gospodarki cyfrowej Margrethe Vestager, która zaznaczyła jak duże ryzyko niesie za sobą stosowanie tego rodzaju rozwiązań technologicznych i podkreśliła, że należy ograniczać ich stosowanie i zachować szczególną ostrożności.

Dane biometryczne
Systemy do rozpoznawania twarzy korzystają z tak zwanych danych biometrycznych, które uregulowane zostały w przepisach Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: „RODO”). Według brzmienia art. 4 ust 14 dane biometryczne oznaczają dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne. Należą one do specjalnej kategorii danych sensytywnych, których przetwarzanie wedle ogólnej zasady jest zabronione. Ustawodawca unijny uznał, że przetwarzanie niektórych rodzajów danych osobowych może stanowić poważną ingerencję w sferę prywatności osób, których dane dotyczą, lub pociągać za sobą znacznie większe zagrożenia niż przetwarzanie tzw. danych zwykłych. Jedynie w wyjątkowych sytuacjach rozporządzenie dopuszcza ich przetwarzanie. W art. 9 RODO wyszczególnione zostały takie przypadki i zaliczają się do nich następujące sytuacje:

  1. osoba, której dane dotyczą, wyraziła wyraźną zgodę na przetwarzanie tych danych osobowych w jednym lub kilku konkretnych celach, chyba że prawo Unii lub prawo państwa członkowskiego przewidują, iż osoba, której dane dotyczą, nie może uchylić zakazu;
  2. przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej, o ile jest to dozwolone prawem Unii lub prawem państwa członkowskiego, lub porozumieniem zbiorowym na mocy prawa państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw podstawowych i interesów osoby, której dane dotyczą;
  3. przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej, a osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody;
  4. przetwarzania dokonuje się w ramach uprawnionej działalności prowadzonej z zachowaniem odpowiednich zabezpieczeń przez fundację, stowarzyszenie lub inny niezarobkowy podmiot o celach politycznych, światopoglądowych, religijnych lub związkowych, pod warunkiem że przetwarzanie dotyczy wyłącznie członków lub byłych członków tego podmiotu lub osób utrzymujących z nim stałe kontakty w związku z jego celami oraz że dane osobowe nie są ujawniane poza tym podmiotem bez zgody osób, których dane dotyczą;
  5. przetwarzanie dotyczy danych osobowych w sposób oczywisty upublicznionych przez osobę, której dane dotyczą;
  6. przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń lub w ramach sprawowania wymiaru sprawiedliwości przez sądy;
  7. przetwarzanie jest niezbędne ze względów związanych z ważnym interesem publicznym, na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie i konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą;
  8. przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego na podstawie prawa Unii lub prawa państwa członkowskiego lub zgodnie z umową z pracownikiem służby zdrowia i z zastrzeżeniem warunków i zabezpieczeń, o których mowa w ust. 3;
  9. przetwarzanie jest niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego, takich jak ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi lub zapewnienie wysokich standardów jakości i bezpieczeństwa opieki zdrowotnej oraz produktów leczniczych lub wyrobów medycznych, na podstawie prawa Unii lub prawa państwa członkowskiego, które przewidują odpowiednie, konkretne środki ochrony praw i wolności osób, których dane dotyczą, w szczególności tajemnicę zawodową;
  10. przetwarzanie jest niezbędne do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych zgodnie z art. 89 ust. 1, na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie, konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą.

Dane biometryczne wykorzystywane przez pracodawców
W dniu 11 maja 2020 roku Prezes Urzędu Ochrony Danych Osobowych, uznał, iż pracodawca winien dokładnie weryfikować czy przetwarzanie danych biometrycznych pracowników jest zgodne z zasadami określonymi w RODO (w szczególności z art. 5 ust. 1), tj. zasadą legalności (lit. a), ograniczenia celu (lit. b) oraz minimalizacji danych (lit. c). Prezes UODO wskazał, iż przetwarzanie danych biometrycznych służących do rejestracji czasu pracy pracowników jest niezgodne z RODO, bowiem pracodawca może rejestrować czas pracy za pomocą innych narzędzi niż stosowanie nowoczesnych technologii przetwarzających dane biometryczne pracowników. Zatem zawsze należy zwracać uwagę na to, czy pozyskiwanie i przetwarzanie tego typu danych okaże się być konieczne i zgodne z przepisami.

Biała księga Komisji Europejskiej
W związku z rosnącymi obawami obywateli dotyczącymi wykorzystywania nowoczesnych technologii, Komisja Europejska podjęła prace nad dokumentem wskazującym zalecenia i zagrożenia w sprawie sztucznej inteligencji. Dokument zatytułowany Białą Księgą został wydany w dniu 19 lutego 2020 roku i traktuje także o technologiach dotyczących rozpoznawania twarzy.

Po pierwsze wskazano, że niektóre programy sztucznej inteligencji służące do analizy twarzy wykazują dyskryminację ze względu na płeć lub rasę, charakteryzując się niskim poziomem błędów przy określaniu płci mężczyzn o jaśniejszym kolorze skóry i wysokim poziomem błędu przy określaniu płci kobiet o ciemniejszym kolorze skóry (Joy Buolamwini, Timnit Gebru; Proceedings of the 1st Conference on Fairness, Accountability and Transparency (Ustalenia 1. konferencji na temat uczciwości, odpowiedzialności i przejrzystości), PMLR 81:77-91, 2018).

Komisja wypowiedziała się także na temat systemów do rozpoznawania twarzy stosowanych np. w miejscach publicznych. Wskazano, że gromadzenie i wykorzystywanie danych biometrycznych do celów zdalnej identyfikacji, niesie ze sobą szczególne ryzyko dla praw podstawowych – na przykład w odniesieniu do godności ludzkiej. Zaznaczono, iż zdalne rozpoznawanie twarzy musi być rozpatrywane przez pryzmat prawa do poszanowania życia prywatnego oraz ochrony danych osobowych.

Komisja ponownie podkreśliła że unijne przepisy dotyczące ochrony danych zakazują co do zasady przetwarzania danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej, z wyjątkiem określonych warunków (art. 9 RODO). W sytuacji, gdy dane biometryczne są przetwarzane w miejscach publicznych może odbywać się tylko z ograniczonej liczby powodów, z których głównym jest istotny interes publiczny. Jako że każdy przypadek przetwarzania danych biometrycznych w celu jednoznacznej identyfikacji osoby fizycznej stanowiłby wyjątek od zakazu ustanowionego w prawie UE, będzie on podlegał zasadom Karty praw podstawowych Unii Europejskiej.

Zgodnie z obowiązującymi unijnymi przepisami o ochronie danych i Kartą praw podstawowych sztuczna inteligencja może być wykorzystywana do celów zdalnej identyfikacji biometrycznej tylko wtedy, gdy takie wykorzystanie jest należycie uzasadnione, proporcjonalne i podlega odpowiednim zabezpieczeniom.

Ponadto w celu uwzględnienia możliwych problemów społecznych związanych ze stosowaniem sztucznej inteligencji oraz w celu uniknięcia rozdrobnienia rynku wewnętrznego, Komisja Europejska zadeklarowała podjęcie szeroko zakrojonej debaty na temat konkretnych okoliczności, które mogłyby uzasadnić takie zastosowanie, oraz na temat wspólnych zabezpieczeń.

Podsumowanie
Na podstawie powyższych informacji i zaleceń należy zaznaczyć, iż przetwarzanie danych biometrycznych, w szczególności do zdalnego rozpoznawania twarzy jest dozwolone tylko jeżeli odbywa się z poszanowaniem praw obywateli i w szczególnie uzasadnionych przypadkach. Komisja nie wskazała wprost jakie sytuacje uprawniają podmioty do korzystania z tego typu systemów, jednakże na przestrzeni kolejnych miesięcy po podjęciu dalszych konsultacji i prac w Komisji Europejskiej, można spodziewać się wypracowania bardziej szczegółowego stanowiska dotyczące tego, jak daleka ingerencja sztucznej inteligencji w prywatność obywateli państw członkowskich będzie akceptowana w państwach UE.

W razie pytań zapraszamy do kontaktu.

Autorzy:

Marta Rabe-Kozłowska

Marta Rabe-Kozłowska

Radca Prawny

Email: biznesprawnik@turcza.com.pl
Telefon: +48 61 666 37 60

Mec. Marta Rabe-Kozłowska jest specjalistką z zakresu prawa spółek handlowych, prawa gospodarczego, prawa cywilnego, ochrony danych osobowych oraz Legal English.

Magdalena Wietrak-Smura

Magdalena Wietrak-Smura

Prawnik

Email: biznesprawnik@turcza.com.pl
Telefon: +48 61 666 37 60

Magdalena Wietrak-Smura specjalizuje się w prawie cywilnym oraz prawie gospodarczym z uwzględnieniem zagadnień ekonomicznych.