A CNIL állásfoglalása az arcfelismeréssel kapcsolatban

A Francia Adatvédelmi Hatóságról (CNIL) még mindig sokaknak a GDPR történetének legnagyobb bírsága jut eszébe. Ezen kívül azonban nagyon hasznos a jogalkalmazást segítő munkájuk is, mely keretében számos olyan útmutatót adtak ki, melyek segítenek válaszokat találni a modernizálódó világ legújabb adatvédelmi kihívásaira, mint például a munkaidő-nyilvántartás célú megfigyeléssel, vagy a call-centerek adatkezelésével kapcsolatban.

Legújabb tájékoztatójában a Hatóság a reptéri arcfelismerő rendszerek adatvédelmi kérdéseivel foglalkozik, mivel előrejelzései szerint 2021-re a repterek 59%-a és a légitársaságok 63%-a tervezi hasonló rendszerek használatának bevezetését. Szintén motiválta őket, hogy pontosan ebben a kérdésben már számos francia repülőtér kérte segítségüket és iránymutatásukat.

Az arcfelismerő rendszerek a reptéri ellenőrzési folyamatok bizonyos részeit automatizálhatnák, ezzel csökkentve az utasok várakozási idejét és növelve az elégedettségüket. A jelenlegi rendszerrel ellentétben egy automatikus rendszer vetné össze az utasok arcképét a rendszerben tároltakkal, így elkerülhető lenne a manuális dokumentumellenőrzés például a csomagfeladó részlegen. Mivel itt biometrikus adatról van szó, mely a GDPR szerint a különösen érzékeny csoportba esik, ezért a CNIL szükségesnek érezte, hogy részletesebben foglalkozzon az üggyel.

A biometrikus adat annyiban különleges, hogy az éritett testi adottságaira vonatkozik és az érintettet egyértelműen beazonosíthatóvá teszi. A biometrikus adat így egyedi, permanens és az érintettől el nem választható. Nem harmadik személy vagy intézmény ruházza az érintettre, és más azonosító adatokkal ellentétben nem változtatható, ha adatvédelmi incidens éri. Mint ilyet, a GDPR elviekben tiltja kezelését, néhány, a 9. cikk (2) bekezdésében szereplő kivételtől eltekintve.

További adatvédelmi problémaként vet fel a Hatóság szerint, hogy a biometrikus adat kezelése kontaktmentes, ezért alkalmas lehet arra, hogy az érintett tudomása nélkül, távolról megtörténjen.

A CNIL négy fő elvet határozott meg a reptéri biometrikus azonosítás kapcsán:

Csak indokolt esetben, arányosan alkalmazzák!

Az adatkezelésnek arányosnak kell lennie, mivel az kifejezetten nagy kockázattal jár az érintettek számára, és csak a megadott célra használható fel. Ez különösen igaz biometrikus adatokra a korábban felsoroltak tekintetében, így a reptéri arcfelismerés alkalmazásának mindig egy konkrét célt kell szolgálnia, és a kezelt adatokat nem lehet ettől eltérően felhasználni.

Példaként a Hatóság szabályosnak találja a technológia használatát a repülőgépbe való beléptetéskor, mivel segítségével elkerülhetők a kialakuló sorok, melyek biztonsági kockázatot jelentenek. Más esetekben nem biztos, hogy a rendszer használatának előnyei arányban lennének az adatkezelés céljával.

Szükséges az utasok hozzájárulásának előzetes megszerzése!

A GDPR 9. cikk (2) bekezdés a) pontja értelmében a biometrikus adatok kezelése – többek között – az érintett kifejezett hozzájárulásával történhet. Ennek a hozzájárulásnak önkéntesnek, konkrét és megfelelő tájékoztatáson alapulónak és egyértelműnek kell lennie (GDPR 4. cikk (11)).

Önkéntes: Az utasoknak választást kell biztosítani, hogy kívánják-e használni a biometrikus azonosítást, illetve nemleges válasz esetén más módszert kell számukra biztosítani. A hozzájárulás nem lehet kikényszerített, annak megadása nem járhat anyagi, vagy más jellegű juttatással (pl. hűségprogram). A hozzájárulásnak ezen kívül bármikor visszavonhatónak kell lennie.

Konkrét: Az adatkezelés során az érintett csak egy bizonyos célhoz adja hozzájárulását, mely hozzájárulás nem használható fel ugyanazon adat más célra történő kezelésére (pl. jegyeladásra).

Megfelelő tájékoztatáson alapuló: Az utasoknak biztosítani kell a rendszerrel kapcsolatos információkat érthető stílusban és nyelvezettel, ugyanez érvényes a biometrikus azonosítás alternatív módszereire is.

Szintén biztosítani kell megfelelő technikai és szervezeti intézkedések bevezetését, melyek biztosítékot nyújtanak arra, hogy az adatkezelés csak olyan személyek esetében történik meg, akik korábban ahhoz hozzájárulásukat adták. Erre példák lehetnek:

• A rendszer csak az érintett utas kezdeményezésére lépjen működésbe.
• A rendszer konfigurálása oly módon, hogy a felvételen látható további személyek arcát automatikusan elhomályosítsa.
• Világos felfestések a padlón annak jelzésére, hogy mely zónákban működik arcfelismerő rendszer.

Fontos azt leszögezni, hogy annak megállapítására, hogy az adott személy hozzájárult-e az adatkezeléshez, nem használható a technológia, hiszen az is már adatkezelésnek minősülne, a hozzájárulás megtagadása esetén pedig jogellenes adatkezelés valósulna meg. Ezért szükséges úgymond külön „útvonalakat” biztosítani a hozzájáruló és a hozzájárulást megtagadó utasok részére.

Az utasok rendelkezhessenek biometrikus adataikkal!

A CNIL felhívja a figyelmet, hogy a különösen érzékeny adatok tárolásának legjobb módja, ha az magánál az érintettnél van. Ilyen jellegű adatok központi adatbázisban való gyűjtése jelentősen megnöveli a kockázatokat egy esetleges incidens esetén. A Hatóság korábbi tapasztalatai rámutattak, hogy a biometrikus adatok érintetteknél történő tárolása csökkenti a visszaélésekkel való kockázatot.

A gyakorlatban ez két módon valósulhat meg. A biometrikus adat vagy:

• az érintett birtokában kerül tárolásra (pl. telefon, kártya formájában), vagy
• az érintett rendelkezik egy egyedi titkosítókulccsal (jelszó), mely szükséges ahhoz, hogy a rendszerben tárolt titkosított adatai felhasználhatóvá váljanak.

Ily módon az érintettek biztosak lehetnek benne, hogy adataik csak akkor kerülnek kezelésre, ha ezt valamilyen egyértelmű cselekedettel jelezték. Hasonlóképp, nagyobb szabadságot kapnak döntéseikben, hogy mely esetekben kívánják ezt a fajta azonosítást használni. Bár egy rendszer ilyen módú kiépítését már a tervezés megkezdésekor figyelembe kell venni, ezekkel a módszerekkel sokkal biztonságosabb és megbízhatóbb azonosítás lehetséges.

Az ebben a pontban leírtak leginkább úgy értelmezhetőek, hogy például cak azok esetében aktiválódik az arcfelismerés, akik egyébként egy applikáción keresztül ezt engedélyezték, és a telefon testközelben tartják, hiszen így nagy valószínűséggel beazonosíthatja az MI-vel megtámogatott technológia, hogy kit lehet scanelni.

Végezzenek előzetes hatásvizsgálatot (DPIA)!

Előzetes hatásvizsgálat elvégzése minden olyan esetben szükséges, amikor az adatkezelés az érintettek jogaira és szabadságaira valószínűsíthetően magas kockázattal jár.

Tekintettel a kezelt adatok érzékenységére és a potenciálisan érintettek nagy számára, a CNIL mindenképpen javasolja egy DPIA elvégzését. Ennek keretében az adatkezelőnek meg kell határoznia az adatkezelésre vonatkozó jogi szabályrendszert. Az arcfelismerő technológia alkalmazása esetén egyébként is alapvető, hogy az adatkezelőnek hatásvizsgálatot kell végeznie, ezt a NAIH hatásvizsgálati listájának 1, 13, 14, 17 pontjai is megerősítik.