V dnešní digitální éře se technologie rozpoznávání obličejů stává stále dostupnější a sofistikovanější. Zatímco kamerové systémy jsou již nyní běžnou součástí provozů, nové vyspělé kamery přinášejí do hry vedle vyššího rozlišení nebo rychlejšího přenosu také funkce automatického rozpoznávání obličejů. Ačkoliv dodavatelé tyto technologie mohou propagovat jako „v souladu s GDPR“, jejich zavádění a použití přináší řadu právních výzev. Jak se soukromý sektor vypořádává s těmito novými technologiemi a jaké jsou podmínky jejich provozu?
Kamerové systémy nejčastěji slouží k monitorování bezpečnosti a ochrany majetku nebo osob, přičemž ke zpracování osobních údajů, jako je snímání či ukládání záznamů s osobami, dochází typicky na základě oprávněného zájmu. Provozovatel kamerového systému je jako správce osobních údajů povinen vypracovat tzv. balanční test, v rámci kterého posoudí nezbytnost a přiměřenost zavedení kamerového systému. Může se přitom inspirovat Metodikou Úřadu pro ochranu osobních údajů („ÚOOÚ“), kterou jsme se před časem zabývali zde. V případě kladně vycházejícího balančního testu a splnění řady dalších povinností, jako je např. řádné rozmístění informačních cedulí nebo vhodná instalace zorných úhlů kamer tak, aby se správce nedostal do rozporu se zákonem č. 262/2006 Sb., zákoník práce a dalšími pravidly, bude postup v souladu s právními předpisy a zajistí, že osobní údaje všech osob snímaných kamerami (zaměstnanci, zákazníci, návštěvy) jsou chráněny a zpracovávány v souladu s GDPR.
S rozvojem technologií se na trhu objevují vyspělejší kamery s vysokým rozlišením včetně těch, které umožňují automatické rozpoznávání obličejů. Tato technologie byla dosud využívána především bezpečnostními sbory a dalšími orgány státu za účelem předcházení, vyhledávání a odhalování trestné činnosti, nebo za účelem zajišťování bezpečnosti a veřejného pořádku. Díky své dostupnosti však technologie postupně proniká i do soukromého sektoru. Dodavatelé těchto technologií mohou své produkty propagovat jako „v souladu s GDPR“, avšak to je často velmi nepřesné. Je totiž důležité si uvědomit, že při jejich použití správce hodlá zpracovávat tzv. biometrické údaje (např. kontury obličeje, otisk prstu, strukturu duhovky nebo hlas), které slouží k jedinečné identifikaci fyzické osoby. Tímto se dostává do roviny přísněji chráněných zvláštních kategorií osobních údajů podle čl. 9 GDPR, jejichž zpracování je obecně zakázáno, a kde výše zmíněný oprávněný zájem jako právní základ pro zpracování sám o sobě nefunguje.
Jak dochází k rozpoznávání obličejů
Fotografie nebo videozáznam, i když obsahují pro konkrétní osobu charakteristické rysy, samy o sobě náležitosti biometrického údaje nesplňují. Biometrické údaje se generují až na základě další operace či souboru operací technického řešení (převedení do šablon a porovnání v rámci technologie rozpoznávání obličejů), jejichž výsledkem je identifikace s určitou mírou přesnosti. Abychom měli s čím porovnávat aktuálně pořízenou fotografii, je třeba disponovat databází šablon. Pro představu může jít o zaměstnance, kteří mají do prostor chráněných kamerovým systémem s rozpoznáváním obličeje přístup. Zaměstnavatel tak pořídí databázi podobizen svých zaměstnanců, které systém převede na zmíněné šablony. Kamera následně při vstupu osoby do monitorovaného prostoru, např. v rámci turniketu, pořídí druhou fotografii osoby a porovná ji se šablonou v databázi. Pokud s dostatečnou mírou přesnosti vyhodnotí, že jde o zaměstnance v databázi oprávněného ke vstupu, turniket jej automaticky vpustí dovnitř.
I v případě, že se osoba nenachází v databázi, a systém tak nekonstatuje shodu, dochází ke zpracování biometrických údajů této osoby, jelikož se systém pokusil osobu ztotožnit.
Není biometrická identifikace jako biometrická identifikace
Je nutné rozlišovat mezi ověřením/potvrzením totožnosti prostřednictvím např. zmíněného turniketu a mezi biometrickou identifikací na dálku, jak je definována v novém aktu o umělé inteligenci.[1]
Ověření totožnosti, které v praxi povede k získání přístupu k prostorám (varianta turniket), nebo k odblokování zařízení (počítač), lze většinou nastavit v souladu s právními předpisy následujícím způsobem. Jelikož pro zpracování biometrických údajů nepostačí pouhý oprávněný zájem, je nutné najít výjimku podle čl. 9 odst. 2 GDPR. Tou může být výslovný souhlas subjektu údajů. Tento souhlas však musí být získán za podmínek, které zajišťují jeho svobodnost a informovanost, což je například ve vztazích mezi zaměstnavatelem a zaměstnancem problematické. Důležitým faktorem pro platnost souhlasu bude to, zda má subjekt údajů k dispozici alternativní řešení, jako je např. možnost používání vstupní karty namísto turniketu. Historicky obstálo při kontrole ÚOOÚ i používání turniketů s automatickým rozpoznáváním obličejů pro přístup do vymezených prostor nikoli na základě souhlasu, nýbrž na základě čl. 9 odst. 2 písm. b) GDPR (plnění povinnosti v oblasti pracovního práva) ve spojení s čl. 6 odst. 1 písm. c) (splnění právní povinnosti) GDPR.[2] Dle ÚOOÚ však šlo o specifický případ, kde byla kontrolovaná osoba schopna prokázat, že zpracování biometrických údajů je nezbytné pro účely plnění specifických povinností správce (zajištění bezpečnosti na pracovišti), a kde předchozí, méně invazivní, prostředky nebyly účinné.
Použití biometrické identifikace na dálku, např. ztotožnění či pokus o ztotožnění vícero osob v monitorovaném areálu s cílem významně usnadnit identifikaci osob bez jejich aktivního zapojení, pak bude v soukromém sektoru významně ztíženo. Obdobné závěry z privacy pohledu vyvozujeme pro systémy rozpoznávání emocí, které navíc akt o umělé inteligenci zakazuje na pracovišti a ve vzdělávacích institucích používat.
Vždy ověřte legálnost zavedení nového nástroje
Byť není použití technologie rozpoznávání obličejů v soukromém sektoru vyloučeno, je nutné vzhledem k velmi striktní právní úpravě pamatovat na komplexní posouzení konkrétního použití a před implementací nastavit vhodná opatření. Jak jsme vysvětlili, zpracování biometrických údajů vyžaduje splnění přísných podmínek pro zvláštní kategorie osobních údajů.
Ačkoliv dodavatelé technického řešení mohou propagovat – a víme, že někteří propagují – systém automatického rozpoznávání obličejů jako splňující všechny požadavky a náležitosti dle GDPR, je nezbytné pečlivě prověřit a zvážit všechny právní aspekty. To vše s cílem zajistit, že zpracování biometrických údajů bude probíhat v souladu s platnými předpisy a s ohledem na ochranu práv a svobod jednotlivců. Jestliže v případě nasazení standardních kamerových systémů, vzhledem ke složitosti problematiky a množství právních požadavků, doporučujeme konzultaci s odborníky, pak v případě nasazení řešení s automatickým rozpoznáváním obličejů považujeme posouzení compliance téměř za nutnost.
- [1] – Nařízení Evropského parlamentu a Rady (EU) 2024/1689 ze dne 13. června 2024, kterým se stanoví harmonizovaná pravidla pro umělou inteligenci a mění nařízení (ES) č. 300/2008, (EU) č. 167/2013, (EU) č. 168/2013, (EU) 2018/858, (EU) 2018/1139 a (EU) 2019/2144 a směrnice 2014/90/EU, (EU) 2016/797 a (EU) 2020/1828 (akt o umělé inteligenci). Dostupné z: https://eur-lex.europa.eu/legal-content/CS/TXT/?uri=CELEX:32024R1689.
- [2] – ÚOOÚ v tomto případě kontroloval používání technologie FaceID z roku 2019, závěry jsou dostupné z: https://uoou.gov.cz/cinnost/ochrana-osobnich-udaju/ukoncene-kontroly/kontroly-za-rok-2019/kontrolni-cinnost-v-oblasti-ochrany-osobnich-udaju-2019/spolecnost-metrostav-as.
