Uzņēmējiem, īpaši mazumtirdzniecībā ir aktualizējies jautājums par drošības vai mārketinga nolūkos veiktu sejas atpazīšanas tehnoloģijas izmantošanu. Sejas atpazīšanas tehnoloģija izmanto cilvēku biometriskos datus. Ievērojot minēto, Inspekcija sniedz skaidrojumu par sejas atpazīšanas tehnoloģijas izmantošanas tiesiskajiem aspektiem no personas datu aizsardzības aspekta.
Kas ir biometrijas dati?
Vispārīgā datu aizsardzības regulas[1] (turpmāk-Regula) 4.panta 14.punktā noteiks, ka “biometriskie dati” ir personas dati pēc specifiskas tehniskas apstrādes, kuri attiecas uz fiziskas personas fiziskajām, fizioloģiskajām vai uzvedības pazīmēm, kas ļauj veikt vai apstiprina minētās fiziskās personas unikālu identifikāciju, piemēram, sejas attēli vai daktiloskopijas dati.
Piemēram, lai pielāgotu reklāmas atbilstoši konkrēta apmeklētāja rīcībai, pārzinim jāidentificē apmeklētājs, gan lai novērotu tā paradumus veikalā, gan arī atpazītu apmeklētāju, kad tas veikalā atgriežas. Ja pārzinis (persona, kuras nolūku sasniegšanai veikta personas datu apstrāde) glabā biometriskus datus (visbiežāk tas tiek darīts, izmantojot veidnes, ko izveido, izgūstot būtiskākās iezīmes no biometriskajiem izejas datiem (piemēram, sejas mērījumus no attēla) (šādu veidni sauc par biometrisko matrici)), lai unikāli identificētu personu, tā būs uzskatāma par biometrisko datu apstrādi. Identifikācija konkrētajā gadījumā var nebūt personas vārda, uzvārda un/vai personas koda noteikšana, bet gan personas unikāla nošķiršana no citām personām un iespēja personu atpazīt atkārtotā saskarsmē.
Savukārt, ja informācijas apstrādes nolūks ir vienas personu kategorijas nodalīšana no citas, bet unikāla fiziskas personas identifikācija šajā procesā veikta netiek. Piemēram, gadījumā, ja veikala īpašnieks vēlas pielāgot savas reklāmas, pamatojoties uz videonovērošanas sistēmas nofilmēto personu dzimuma un vecuma pazīmēm un šāda sistēma neizveido biometriskās veidnes personu unikālai identificēšanai, bet tikai fiksē minētās fiziskās pazīmes, lai klasificētu personu, tad to var par biometrisko datu apstrādi neuzskatīt (kamēr vien netiek apstrādāti citi īpašu kategoriju datu veidi).
Kādi ir riski apstrādājot biometriskos datus?
Biometrisko datu un jo īpaši sejas atpazīšanas tehnoloģijas izmantošana ir saistīta ar paaugstinātiem riskiem datu subjektu tiesībām. Eiropas Datu aizsardzības kolēģijas 2020.gada 29.janvāra pamatnostādnēs 3/2019 “Par personas datu apstrādi, izmantojot videoierīces” (turpmāk – Pamatnostādnes) skaidrots, ka svarīgi šādu tehnoloģiju izmantošanā ievērot Regulas noteiktos likumīguma, nepieciešamības, samērīguma un datu minimizācijas principus. Lai gan šo tehnoloģiju izmantošana var tikt uzskatīta par īpaši efektīvu, pārziņiem vispirms būtu jānovērtē ietekme uz pamattiesībām un pamatbrīvībām un jāapsver mazāk traucējoši veidi, kā sasniegt to likumīgo apstrādes mērķi.
Izvērtējot riskus personas tiesībām un brīvībām, kas saistīti ar biometrisko datu apstrādi, var noteikt vairākus galvenos virzienus, kas apsverami risku identificēšanā:
- Pats pārzinis (persona, kuras mērķu sasniegšanai apstrādā biometriskos datus) iegūto biometrisko matrici izmanto tādu mērķu sasniegšanai, par kuriem datu subjekts (iedzīvotājs, kura dati tiek apstrādāti) nav informēts. Šāds risks lielākoties materializēsies, ja biometrisko datu apstrāde nebūs nodalīta no citām pārziņa datu plūsmām.
- Veidojot biometrisko matrici, tiek izveidots jauns personas unikāls identifikators, kuram nonākot citu personu rīcībā, tas var tikt izmantots, lai iegūtu informāciju par datu subjektu veidā, kā nebija iespējams paredzēts, matrici veidojot. Attēli un ieraksti ar personu var tikt ievietoti dažādos avotos un dažādos datu nesējos, izmantojot biometrisko matrici, ir iespējams, izmantojot meklēšanas funkcijas, atrast citādi neindeksētu informāciju, kas ir uz konkrēto personu attiecināma.
- Pastāv reāli drošības riski personas biometrisko matrici izmantot piekļuves iegūšanai resursiem, kuri tiek aizsargāti ar biometriskās autentifikācijas metodēm – piemēram, mobilajiem telefoniem.
Secināms, ka ar biometrisko datu apstrādi saistāmi reāli pastāvoši gan iekšēji (attiecībā uz pārziņa darba organizāciju), gan ārēji (materiāli zaudējumi ļaunprātības rezultātā, kontroles zaudēšana pār personas datu apstrādi un citādi neattiecināmas informācijas saistīšana ar datu subjektu) riski.
Tiesiskais pamats biometrisko datu apstrādei?
Atbilstoši Regulas 9.panta 1.punktam biometriskie dati ir uzskatāmi par īpašās kategorijas personas datiem un to apstrāde, lai veiktu personas unikālu identifikāciju (atpazītu to starp citām līdzīgām personām) ir aizliegta, ja vien nav piemērojams, kāds no Regulas 9.panta 2,punktā noteiktajiem izņēmumiem.
Tas nozīmē, ka gadījumos, kad videonovērošanas sistēmu izmanto, lai apstrādātu biometriskos datus, pārzinim ir jāidentificē, gan izņēmums īpašu kategoriju datu apstrādei saskaņā ar Regulas 9.panta 2.punktu (t. i., izņēmums attiecībā uz vispārējo noteikumu, ka aizliegts apstrādāt īpašu kategoriju datus), gan tiesiskais pamats saskaņā ar Regulas 6. pantu.
Inspekcija vērš uzmanību uz līdzšinēji izdarītiem secinājumiem:
- Privātpersonas veikta sejas atpazīšanas tehnoloģijas izmantošanu, veicot biometrisko datu apstrādi, mārketinga vai drošības nolūkos var pamatot tikai ar Regulas 6.panta 1.punkta a) apakšpunktā un attiecīgi Regulas 9.panta 2.punkta a) apakšpunktā noteikto tiesisko pamatu – datu subjekta piekrišanu. Pieņemt, ka personas ir piekritušas biometrijas datu apstrādei, jo pie veikala izvietota brīdinājuma zīme nav atbilstoši Regulai.
- Gadījumā, ja sejas atpazīšanas tehnoloģija tiek izmantota normatīvajā aktā noteikta deleģējuma izpildei, iespējams apstrādi var pamatot ar Regulas 6.panta 1.punkta e) apakšpunktā un attiecīgi Regulas 9.panta 2.punkta g) apakšpunktā noteikto tiesisko pamatu – apstrāde nepieciešama sabiedrības interesēs.
- Risku personas tiesībām un brīvībām novērtējums ir nākamais solis pēc apstrādes nolūka un tā sasniegšanai adekvāta tiesiskā pamata personas biometrisko datu apstrādei, noteikšanas. Pirms biometrisko datu apstrādes uzsākšanas veicams Novērtējums par ietekmi uz datu aizsardzību.
[1] Eiropas Parlamenta un Padomes Regulas (ES) 2016/679 par fizisko personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46 EK (Vispārīgā datu aizsardzības regula)