Az arcfelismerő rendszerek technológiájának fejlődésével időről-időre felmerül az ötlet, hogy ezeket a rendszereket a magánszektor is hasznosítsa. Fontos azonban az adatvédelmi szempontoknak való megfelelés – ezt mutatja például a spanyol adatvédelmi hatóság (Agencia Española de Protección de Datos – AEPD) gyakorlata is. Az AEPD tavalyi határozatában 2.520.000 EUR (körülbelül 930 millió forint) bírságot szabott ki a Mercadona S.A. nevű szupermarket-láncra, amely arcfelismerő szoftverrel ellenőrizte a boltjai területére lépő vásárlók személyazonosságát és ennek segítségével büntetett előéletét.
Az alábbi cikkben összefoglaljuk a határozat fő megállapításait, mert véleményünk szerint tanulságos lehet minden olyan európai vállalkozásnak, aki hasonló arcfelismerő rendszer telepítését tervezi.
Fontos kiemelni, hogy az arcfelismerő rendszerek használata nem önmagában jogszerűtlen, de a Mercadona ügyében számos olyan hiányosság és kérdés merült fel, amit hasonló esetekben mindenképp előzetesen kezelni kell. Az adatvédelmi szempontokon túl érdemes tudni, hogy
az Európai Bizottság új, Mesterséges Intelligencia rendelettervezete mind a „tiltott” MI-gyakorlatok, mind a „nagy kockázatú” MI-rendszerek körében részletesen foglalkozik az arcfelismerő rendszerekkel, így a rendelettervezet elfogadása esetén további szabályozásokat is figyelembe kell venni.
Mi volt az ügy háttere?
Az 1977-ben alapított Mercadona Spanyolország egyik vezető szupermarket-lánca és webshopja – ára több, mint 1.600 bolttal és mintegy 95 ezer munkavállalóval rendelkezik az Ibériai-félszigeten, Spanyolország és Portugália területén. 2020. június 1. és 2021. május 6. között a Mercadona 40 üzletében vezetett be kamerás arcfelismerő rendszert annak érdekében, hogy az üzleteiben elkövetett korábbi – elsősorban vagyon elleni – bűncselekmények elkövetőit megakadályozza további bűncselekmények elkövetésében, illetve eltávolítsa őket az üzletek területéről. A rendszer a biztonsági kamerák felvételei alapján azonosított arcképek, valamint a korábbi bírósági eljárások során rögzített személyes adatok és arcképek felhasználásával működött. Ha a jelen időben készült felvételek alapján készített „biometrikus minták” bizonyos százalékban megegyeztek egy korábbi elkövetőt ábrázoló képekből készült mintával, a rendszer emailben jelezte ezt a biztonsági szolgálat és a rendőrség részére.
A Mercadona indokolása szerint azokat a korábbi elkövetőket kívánták így azonosítani, akik:
- Visszaeső elkövetői a Mercadona sérelmére elkövetett lopásnak vagy rablásnak;
- Nagy mennyiségű terméket loptak el Mercadona üzletekből;
- Feljelentették és/vagy elítélték őket a Mercadona létesítményei, egyéb tulajdona vagy dolgozói sérelmére elkövetett bűncselekmény miatt;
- Fenyegették vagy bántalmazták a Mercadona dolgozóit vagy biztonsági szolgálatának tagjait; vagy
- A Mercadona vásárlói sérelmére követtek el jogsértő cselekményeket.
A GDPR melyik rendelkezéseire érdemes külön figyelni?
Az AEPD szerint az arcfelismerő rendszer használatával a Mercadona a GDPR alábbi rendelkezéseit sértette meg:
GDPR 6. cikk (1) bekezdés és GDPR 9. cikk (1) bekezdés – Az adatkezelés jogszerűsége, valamint a személyes adatok különleges kategóriáinak kezelése.
Az arcfelismerő rendszerek alkalmazása biometrikus adatok kezelésével jár, amelyek a GDPR 9. cikk (1) bekezdése alapján a személyes adatok különleges kategóriájába tartoznak, és kezelésük a GDPR 9. cikk (2) bekezdésében felsorolt kivételek figyelembevételével lehetséges. A Mercadona az adatkezelés jogszerűsége alátámasztása érdekében a GDPR 9. cikk (2) bekezdés g) pontjában meghatározott kivételre hivatkozott:
lehetséges a személyes adatok kezelése, ha az „jelentős közérdek miatt szükséges, uniós jog vagy tagállami jog alapján, amely arányos az elérni kívánt céllal, tiszteletben tartja a személyes adatok védelméhez való jog lényeges tartalmát, és az érintett alapvető jogainak és érdekeinek biztosítására megfelelő és konkrét intézkedéseket ír elő”.
Érvelése szerint az arcfelismerő rendszer telepítése azért jelentős közérdek, mert az elkövetők távoltartása az üzletektől és így a bírósági ítéletek végrehajtása nem csak a vállalat üzleti érdekeit, hanem a köz javát szolgálja. Az AEPD szerint ugyanakkor a jelentős közérdeket tagállami vagy uniós jogszabálynak kell meghatároznia – ilyen jogszabály azonban nem volt.
GDPR 5. cikk (1) bekezdés c) pont – Az adattakarékosság elve
Az AEPD megállapította, hogy technikai szempontból az arcfelismerő rendszer alkalmazása során nem csak a korábbi elkövetők adatainak kezelésére kerül sor, mert a rendszeren az egyéb vásárlók, és az üzletben dolgozó személyek nagy számú biometrikus adata is átfutott. Az utóbbi adatok nagyjából 0,3 másodperc után törlésre kerültek, ami a Mercadona érvelése szerint nem valósított meg adatkezelést, az AEPD szerint azonban a vállalat így tulajdonképpen minden egyes személyt az ellenkező bizonyításáig elkövetőnek tekintett– ez pedig nem áll összhangban az adattakarékoság GDPR-ban meghatározott alapelvével.
GDPR 12. cikk és 13. cikk – Átlátható tájékoztatás
A Mercadona az arcfelismerő rendszert alkalmazó üzletekben tájékoztató plakátokat helyezett ki a rendszer működéséről. Az AEPD szerint azonban ezzel még nem teljesítette megfelelően az átláthatóság GDPR-ban meghatározott követelményét, mivel a plakát nem tartalmazott részletes tájékoztatást az arcfelismerő rendszer használatának helyszíneiről, időtartamáról, az adatkezelés jogalapjáról és céljairól.
GDPR 25. cikk (1) bekezdés – Beépített és alapértelmezett adatvédelem
A GDPR 25. cikk (1) bekezdése meghatározza a beépített és alapértelmezett adatvédelem követelményét:
„Az adatkezelő a tudomány és technológia állása és a megvalósítás költségei, továbbá az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével mind az adatkezelés módjának meghatározásakor, mind pedig az adatkezelés során olyan megfelelő technikai és szervezési intézkedéseket – például álnevesítést – hajt végre, amelyek célja egyrészt az adatvédelmi elvek, például az adattakarékosság hatékony megvalósítása, másrészt az e rendeletben foglalt követelmények teljesítéséhez és az érintettek jogainak védelméhez szükséges garanciák beépítése az adatkezelés folyamatába”.
Az AEPD szerint a Mercadona nem felelt meg a fenti követelménynek. A hatóság ezzel kapcsolatban különösen aggályosnak tartotta, hogy az üzletek területére sérülékeny helyzetben levő személyek is beléphetnek – például gyermekek, idősek, fogyatékkal élő személyek. Gyermekek esetében az arcfelismerésnek szigorúbb szükségességi-arányossági tesztnek kell megfelelnie, másrészt esetükben nagyobb az esélye a hibás pozitív azonosításnak – a rendszer például nem tudott életkort felismerni és ez alapján megkülönböztetni csoportokat. A gyermekek képmásának jogszerű kezelése azért is megkérdőjelezhető, mert egyébként nem büntethetők, így az adatkezelésnek nem feltétlen van valós célja. A kapcsolódó kockázatok tekintetében a hatóság külön hivatkozott az Európai Unió Alapjogi Ügynökségének az „Arcfelismerő technológia: alapjogi szempontok a bűnüldözés összefüggésében” elnevezésű jelentésének megállapításaira. Végül, az AEPD szerint elfogadhatatlan kockázatot jelent, hogy a koronavírus járványra tekintettel bevezetett kötelező maszkviselés miatt az arcfelismerő rendszerek nagyobb eséllyel azonosítanak hibásan.
GDPR 35. cikk – Adatvédelmi hatásvizsgálat
A GDPR 35. cikk (1) bekezdése írja elő a kötelező adatvédelmi hatásvizsgálat elvégzésének kötelezettségét: „Ha az adatkezelés valamely – különösen új technológiákat alkalmazó – típusa –, figyelemmel annak jellegére, hatókörére, körülményére és céljaira, valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, akkor az adatkezelő az adatkezelést megelőzően hatásvizsgálatot végez arra vonatkozóan, hogy a tervezett adatkezelési műveletek a személyes adatok védelmét hogyan érintik.”
A Mercadona érvelése szerint nem volt szükség adatvédelmi hatásvizsgálatra, elsősorban azért, mert az adatkezelés bírósági ítéletek végrehajtásán alapult, amelyben a bíróság kitiltotta az elkövetőket a Mercadona üzleteiből. Az AEPD szerint azonban ez nem mentesítette az adatkezelőt a hatásvizsgálat elvégzése alól.