Arcfelismerő rendszerek a gyakorlatban – valóban szükséges, vagy az „ágyúval verébre” esete forog fenn?

Az adatvédelem területe szinte naponta szolgál újdonságokkal mind a téma iránt érdeklődők, mind az azzal professzionálisan foglalkozók számára.

Az egyik ilyen újdonság, hogy a közelmúltban több, Egyesült Királyság-beli iskola is bevezette, majd röviddel ezután le is állította az arcfelismerő rendszerek diákok azonosítása céljából történő alkalmazását, miután az Egyesült Királyság adatvédelmi biztosának hivatala (Information Commissioner’s Office, „ICO”) vizsgálatot indított a technológia használatának adatvédelmi megfelelőségével kapcsolatban és arra a következtetésre jutott, hogy az nagy valószínűséggel szükségtelen és aránytalan beavatkozást valósít meg a diákok magánszférájába.

A kombinált ujjlenyomat- és arcfelismerő rendszer bevezetése a készpénzmentes iskolai étkeztetési rendszer korszerűsítésének volt része, amellyel azt a célt kívánták elérni, hogy a diákok kiszolgálásának ideje csökkenjen, és ezáltal váljon hatékonyabbá a tanulók étkeztetése.

Az arcfelismerő rendszerek civil használatban történő elterjedése megkérdőjelezhetetlen technológiai, illetve biztonságtechnikai előrelépés, a fejlődéssel párhuzamosan azonban az ezen rendszerek magánszférát érintő hatását – egyébként jogosan – bíráló hangok is erősödtek. Az utóbbi években leginkább az állami szervek által használt térfigyelő kamerák képeit feldolgozni képes arcfelismerő szoftverek alkalmazását érték kritikák, arra hivatkozva, hogy a legitim célok mellett – mint pl. a bűnüldözés, vagy a terrorizmus elleni küzdelem – túl széles körű felhasználás esetén azok az állampolgárok olyan módon történő megfigyelésére is alkalmasak lehetnek, amely már alapjogi és jogállamisági kérdéseket is felvet.

A piaci alapon nyújtott arcfelismerő technológiára épülő szolgáltatásokra jellemzően más követelmények vonatkoznak, mint az állami felhasználásra, azonban ezen szolgáltatásokra is alkalmazandók bizonyos objektív korlátok annak ellenére, hogy ezek a technológiai megoldások általában a felhasználók kényelmét vagy biztonságát hivatottak szolgálni, gondoljunk itt például egy beléptetőrendszerre, vagy az okostelefonok arcfelismerő billentyűzár-feloldó funkciójára.

Ezek az objektív korlátok elsősorban az adatvédelem területén jelennek meg, hiszen az arcfelismerő rendszerek az egyének biometrikus adatainak felhasználásával működnek. Az Általános Adatvédelmi Rendelet („GDPR”) a biometrikus adatokat a személyes adatok különleges kategóriái közé sorolja, amelyek kezelése főszabály szerint tilos. Ilyen adat tehát csak abban az esetben kezelhető, ha GDPR-ba foglalt kivételszabályok közül legalább egy érvényesül, egyéb korlátozások mellett.

Ezen felül azonban az arcfelismerő rendszerek üzemeltetőinek a fentieknél általánosabb követelményeket meghatározó adatvédelmi alapelveknek is meg kell felelniük. Ezek közül kiemelendő az adattakarékosság elve, amely sokszor a technológiailag innovatív, azonban személyes adatokra építő szolgáltatások adatvédelmi Achilles-sarkát jelenti. Az adattakarékosság elvét ugyanis sérti minden olyan adatkezelés, amely a ténylegesen szükségesnél szélesebb adatkörre terjed ki. Tehát minden esetben a privát szférát legkevésbé „háborgató” technikákat kell választani. A fent ismertetett Egyesült Királyság-beli esetben például – az ICO szerint – szükségtelenül invazív megoldás az arcfelismerő rendszer használata pusztán abból az célból, hogy a diákok gyorsabban jussanak az ebédjükhöz, hiszen ezt a szolgáltatást egy chipkártyás rendszerrel hasonló minőségben lehetne nyújtani – különleges adatok kezelése nélkül. A különleges adatokra építő arcfelismerő rendszerek esetében pedig számos esetben létezik más, adattakarékosabb megoldás, így az ilyen eszközök alkalmazásakor kiemelten körültekintően kell eljárnia az adatkezelőknek.

Magyarországi vonatkozásban ezt támasztja alá egyébként az is, hogy a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) hatásvizsgálati listáján – amely azon, nagy kockázatú adatkezeléseket tartalmazza, amelyek esetében kötelező az adatvédelmi hatásvizsgálat előzetes lefolytatása – az első két helyet biometrikus adatokra vonatkozó adatkezelések foglalják el.

Az utóbbi időben tehát nagy figyelmet kapnak az arcfelismerő technikák, az itt említett eseten kívül az utóbbi időben foglalkozott a kérdéssel a holland, lengyel, valamint a spanyol adatvédelmi hatóság is. Így indokoltnak tartjuk Fraser Sampson professzor, Anglia és Wales biometrikus és térfigyelő kamerákért felelős biztosának intő szavait, aki a BBC-nek elmondta, hogy elvárja, hogy az arcfelismerés alkalmazását fontolgató adatkezelők alaposan gondolják át, mielőtt “egy olyan nyilvánvalóan invazív intézkedés mellett döntenek, mint az arcfelismerés“.

Farkas Márton ügyvédjelölt

Amennyiben a fentiekkel kapcsolatban bármilyen kérdése merülne fel, kérjük, forduljon szokásos kapcsolattartó partneréhez, illetve dr. Dékány Csilla (e-mail: csilla.dekany@pwc.com) irodai tag, ügyvédhez vagy dr.Csenterics András (e-mail: andras.csenterics@pwc.com) ügyvédhez.

Megosztás