Technologia rozpoznawania twarzy

Opinia 02/2012 w sprawie systemów rozpoznawania twarzy w usługach online i usługach komórkowych autorstwa Grupy Roboczej ds. Ochrony Osób Fizycznych w Zakresie Przetwarzania Danych Osobowych (w skrócie: Grupa Robocza Art. 29) uznaje za rozpoznawanie twarzy automatyczne przetwarzanie obrazów cyfrowych zawierających twarze osób w celu ich identyfikacji, kategoryzacji lub weryfikacji ich tożsamości. Na ten proces składa się kilka elementów: rejestrowanie obrazu, wykrywanie twarzy, ujednolicanie, wydobycie cech charakterystycznych, wprowadzanie do systemu i porównywanie.

Jak wspomniano we wstępie, systemy rozpoznawania twarzy znalazły zastosowanie w dziedzinie usług online i usług komórkowych w celu identyfikacji i kategoryzacji osób oraz weryfikacji ich tożsamości, zaś ramy prawne dla nich zawarte są w 95/46/WE w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych.

Kto jest administratorem danych osobowych

Dyrektywa 95/46/WE wskazuje, że „administrator danych” oznacza osobę fizyczną lub prawną, władzę publiczną, agencję lub inny organ, który samodzielnie lub wspólnie z innymi podmiotami określa cele i sposoby przetwarzania danych; jeżeli cele i sposoby przetwarzania danych są określane w przepisach ustawowych i wykonawczych lub przepisach wspólnotowych, administrator danych może być powoływany lub kryteria jego powołania mogą być ustalane przez ustawodawstwo krajowe lub wspólnotowe.

Z opinii Grupy Roboczej Art. 29 omawiającej zagadnienie rozpoznawania twarzy wynika, że administratorami danych są na ogół właściciele stron internetowych lub dostawcy usług internetowych, ale również operatorzy aplikacji na telefony komórkowe, którzy stosują systemy rozpoznawania twarzy przez określenie celów lub sposobów przetwarzania.

Aby dane mogły być przetwarzane, muszą spełniać przynajmniej jedno kryterium zawarte w art. 7 dyrektywy w sprawie ochrony danych, a mianowicie gdy:

a) osoba, której dane dotyczą, jednoznacznie wyraziła na to zgodę;

b) przetwarzanie danych jest konieczne dla realizacji umowy, której stroną jest osoba, której dane dotyczą, lub w celu podjęcia działań na życzenie osoby, której dane dotyczą, przed zawarciem umowy;

c) przetwarzanie danych jest konieczne dla wykonania zobowiązania prawnego, któremu administrator danych podlega;

d) przetwarzanie danych jest konieczne dla ochrony żywotnych interesów osób, których dane dotyczą;

e) przetwarzanie danych jest konieczne dla realizacji zadania wykonywanego w interesie publicznym lub dla wykonywania władzy publicznej przekazanej administratorowi danych lub osobie trzeciej, przed którą ujawnia się dane;

f) przetwarzanie danych jest konieczne dla potrzeb wynikających z uzasadnionych interesów administratora danych lub osoby trzeciej, lub osobom, którym dane są ujawniane, z wyjątkiem sytuacji, kiedy interesy takie podporządkowane są interesom związanym z podstawowymi prawami i wolnościami osoby, której dane dotyczą, które gwarantują ochronę na podstawie art. 1 ust. 1.

Zalecenia dla administratorów – według Grupy Roboczej Art. 29

Warto zauważyć, że w środowisku online czy usług komórkowych administrator danych może wchodzić w posiadanie obrazów na wiele różnych sposobów, np. mogą być one przesyłane przez użytkowników usługi przez ich znajomych czy osoby trzecie. Niezależnie jednak od sposobu, w jaki te obrazy znalazły się w posiadaniu administratora, wymagana jest podstawa prawna do ich przetwarzania.

Grupa Robocza Art. 29 sformułowała zalecenia, które mogą administratorowi danych przetwarzanie danych zgodnie z przepisami prawa:

Zalecenie 1: Jeżeli administrator danych rejestruje obrazy, musi zagwarantować, że posiada ważną zgodę podmiotu danych przed rejestracją obrazu i że udzieli wystarczających informacji związanych z tym, kiedy aparat fotograficzny jest włączony w celu rozpoznania twarzy.

Zalecenie 2: Jeżeli osoby rejestrują obrazy cyfrowe i przesyłają je do usług online i usług komórkowych w celu rozpoznania twarzy, administratorzy danych muszą zagwarantować, że osoby te zgodziły się na przetwarzanie tych obrazów, które może nastąpić w celu rozpoznania twarzy.

Zalecenie 3: Jeżeli administratorzy danych otrzymują obrazy cyfrowe osób fizycznych od osób trzecich, muszą uważnie zbadać ich źródło i okoliczności, w jakich nabyto i przetworzono obrazy, jedynie pod warunkiem, że podmioty danych wyraziły zgodę na przetwarzanie.

Zalecenie 4: Administratorzy danych muszą zagwarantować, że obrazy cyfrowe i wzory są używane wyłącznie w tym celu, w jakim zostały dostarczone.

Zalecenie 5: Administratorzy danych muszą zagwarantować, że obrazy cyfrowe osób fizycznych, które nie są zarejestrowanymi użytkownikami danej usługi lub nie wyrazili zgody na ich przetwarzanie, będą przetwarzane jedynie w takim zakresie, w jakim administrator ma uzasadniony interes do przetwarzania.

Zalecenie 6: Administrator danych musi podjąć odpowiednie kroki aby zapewnić bezpieczeństwo transmisji danych.

Zalecenie 7: Administratorzy danych muszą zagwarantować, że dane uzyskiwane z obrazu cyfrowego nie będą nadmierne ilościowo i będą zawierały jedynie te informacje niezbędne do wykonania określonego celu, unikając tym samym ewentualnego dalszego przetwarzania.

Zalecenie 8: Administrator danych musi wybrać najbardziej odpowiednią lokalizację przechowywania danych.

Zalecenie 9: Administrator danych powinien zapewnić podmiotom danych odpowiednie mechanizmy egzekwowania ich prawa dostępu do, w miarę potrzeb, pierwotnych obrazów oraz wzorów tworzonych w procesie rozpoznawania twarzy.