skip to Main Content

Használható-e az arcfelismerés a diákok azonosítására?

A Covid-19 sok szervezetet új kihívás elé állított. A spanyolországi egyetemek arcfelismerési rendszer bevezetésével azonosították diákjaikat, hogy a karantén alatt otthonról is vizsgázhassanak. Ennek kapcsán adott ki egy jelentést a Spanyol Adatvédelmi Hatóság (AEPD) 2020. május 8-án, melyben megvizsgálta a biometrikus azonosítás jogszerűségét.

Az utóbbi időben a különböző európai hatóságok között forró téma a különleges, biometrikus adatok kezelése, vagy azért, mert állást foglalnak valamilyen kapcsolódó kérdésben, vagy azért, mert „meg kell” valakit bírságolni a jogellenes kezelésükért. A lengyel hatóság állásfoglalásában nem tartotta arányosnak a biometrikus adatok használatát a dolgozók munkaidejének vezetésére, a holland hatóság pedig több mint hétszázezer euróra bírságolt egy céget jogellenes adatkezelésért.

A fentiek ellenére vajon jogszerű lehet-e, ha a karanténhelyzet miatt szükségessé válik a diákok új módú azonosítása? Mielőtt a poént lelőtte volna, az AEPD, leszögezte, hogy a jelenlegi szituáció nem jelentheti az alapvető jogok felfüggesztését, ezért minden személyes adat kezelésének, és így az arcfelismerés alkalmazásának is meg kell felelnie a GDPR rendelkezésinek.

Arra a kérdésre, hogy biometrikus adat kezeléséhez használható-e a hozzájárulás, mint jogalap oktatási intézmény és tanuló között, a hatóság azt válaszolta, hogy ez a módszer csak akkor lehet elfogadható, ha az érintetteknek van választási lehetőségük, illetve nincs rájuk kényszerítve az arcfelismeréses azonosítás használata. Itt az AEPD rámutatott, hogy biztosítani kell egy olyan alternatív azonosítás lehetőségét is, ami nem jár biometrikus adat kezelésével, és ami időtartamában és bonyolultságában sem jár nagyobb teherrel, mint az arcfelismerés. Semmiképp nem fogadható el, hogy egyes diákok azért ne tudjanak beiratkozni, vagy levizsgázni, mert nem járultak hozzá a kérdéses különleges adatok kezeléséhez, hiszen ebben az esetben sérülnének a Rendeletben meghatározott jogaik.

Érdekessége az ügynek, hogy bár az egyetemek és más oktatási intézmények esetén az adatkezelés jogalapja általában közfeladat ellátása, mely esetben a személyes adatok kezelése kizárólag akkor és annyiban jogszerű, amennyiben […] az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges, azonban ilyen ’közhatalmi jogosítvány’ a spanyol jogrendben jelenleg nem létezik, és amennyiben létrejön, annak tartalmaznia kell, hogy miért megfelelőbb módszer az azonosításra az arcfelismerés más módszerekhez képest, meg kell határoznia a folyamat és szervezet által adott garanciákat, illetve meg kell felelnie az arányosság és szükségesség elveinek.

Amennyiben bebizonyosodik, hogy az érintettek önkéntesen járultak hozzá az adatkezeléshez, illetve megalkotásra kerül az ezt lehetővé tevő jogszabály, azután még mindig további lépések szükségesek, mire az adatkezelés megkezdhető. Az AEPD felhívja a figyelmet, hogy mivel ebben az esetben különleges (biometrikus) adatokról van szó, a GDPR 35. cikke szerinti hatásvizsgálat elvégzése is szükséges. Ebben kell többek között azt megvizsgálni, hogy vannak-e más, kevésbé invazív módjai az azonosításnak.

Az AEPD óvatosságra int arcfelismeréses azonosítórendszerek bevezetésével kapcsolatban, és nyomatékosította, hogy előzetes kockázatértékelésre, adatvédelmi hatásvizsgálatra és a felügyeleti hatósággal való konzultációkra van szükség, ezek által is biztosítva, hogy az érintettek jogai nem sérülnek az adatkezelés során.

Back To Top