GDPR.pl – ochrona danych osobowych w UE, RODO, IOD
Portal o unijnym rozporządzeniu o ochronie danych osobowych

System rozpoznawania twarzy w siłowni

Autor: Redakcja
Udostępnij publikację:

Duński organ nadzoru (Datatilsynet) wydał decyzje w sprawie siłowni, która stosowała system rozpoznawania twarzy do autoryzacji wejść na jej teren. Ponadto wskazał, jak prawidłowo zgodnie z RODO należy wdrożyć taki system.

System rozpoznawania twarzy w siłowni

Kontekst sprawy

Duński organ nadzoru otrzymał skargę od obywatela na to, że siłownia Sporting Health Club (SHC) wprowadziła rozpoznawanie twarzy jako metodę autoryzacji wejścia na jej teren. Skarżący wskazał, że nie było wystarczających i równoważnych alternatyw dla tego systemu wejścia.

Z dochodzenia organu nadzoru wynikało, że użytkownicy centrum fitness, którzy nie chcą wyrazić zgody na rozpoznawanie twarzy, mogą zostać wpuszczeni przez recepcję tylko w godzinach pracy personelu. Poza tymi godzinami mogą skontaktować się z całodobowym wsparciem, które może zdalnie otworzyć drzwi lub wygenerować otwierający je kod.

Ochrona sygnalistów

Legalność systemu rozpoznawania twarzy

Organ nadzoru w swoich poprzednich decyzjach wskazywał, że korzystanie z systemu rozpoznawania twarzy w centrach fitness nie narusza zasad ochrony danych, pod warunkiem że zgoda została uzyskana prawidłowo. W sprawie SHC klienci siłowni mogli wyrazić zgodę na rozpoznawanie twarzy, pobrać odpowiednią aplikację i w niej umieścić swoje zdjęcie, na podstawie którego będą rozpoznawani. Klienci, którzy nie wyrazili zgody musieli polegać na asyście personelu.

Jeśli chodzi o wykorzystanie zgody w związku z rozpoznawaniem twarzy, duński organ ochrony danych jest zdania (zgodnie z wytycznymi EROD 3/2019), że wymóg dobrowolności w takim przypadku oznacza, że administrator danych – w tym przypadku SHC – musi zaoferować alternatywne rozwiązanie, które nie obejmuje przetwarzania informacji biometrycznych. Alternatywa ta nie musi być identyczna, ale nie może wiązać się z istotnymi ograniczeniami lub kosztami dla osoby, której dane dotyczą.

Czy zgoda pacjenta jest dobrowolna?

W ocenie duńskiego organu ochrony danych fakt, że użytkownik ma możliwość zameldowania się w recepcji za pośrednictwem osobistej obsługi w godzinach otwarcia recepcji, sam w sobie nie może być uznany za podobną alternatywę, ponieważ w ten sposób dostęp do centrum jest ograniczony w porównaniu z sytuacją, w której użytkownik wyraził zgodę na rozpoznawanie twarzy. Jednakże, jeśli użytkownik nie chce wyrazić zgody na rozpoznawanie twarzy, SHC daje mu również inne możliwość oprócz recepcji – zadzwonienia do pomocy technicznej, która może otworzyć drzwi lub wygenerować kod.

W związku z tym te alternatywne opcje zapewniają taki sam dostęp do centrum, jak zgoda na rozpoznawanie twarzy i nie wiążą się ze znacznymi ograniczeniami lub kosztami finansowymi. Duński organ ochrony danych wskazał zatem, że SHC oferuje wystarczające alternatywy dostępu do siłowni.

Jednakże oprócz dobrowolności, zgoda musi być również świadoma – osoba, której dane dotyczą, musi zdawać sobie sprawę z tego na jakie operacje przetwarzania się godzi. Oznacza to, że administrator zobowiązany jest dostarczyć szereg informacji zapewniających, że decyzja będzie świadoma. W kontekście rozpatrywanej sprawy uznano, że osoba musi zostać poinformowana o alternatywach, które są dostępne wobec wyrażenia zgody na rozpoznawanie twarzy. Duński organ ustalił, że SHC podjęło pewne wysiłki, aby to zrobić, m.in. na ekranach informacyjnych przy wejściu do centrów fitness oraz w polityce firmy dotyczącej danych osobowych. Jednakże informacje te wydają się fragmentaryczne. Klient sam musi znaleźć szczegółowe informacje na temat możliwych alternatyw, czy dowiedzieć się, co oznacza „kod” i odniesienie do „wsparcia” na ekranach informacyjnych przy wejściu do centrów fitness.

Marketing – czy mowa jest srebrem, a milczenie zgodą? Czyli milczenie w marketingu i co może oznaczać brak reakcji osoby, ponownie pytanej o zgodę

Skarga klienta

Duński organ wskazał, iż skarżący otrzymał informację, że „jeżeli członek nie chce wyrazić zgody na rozpoznawanie twarzy, trening w naszych centrach jest możliwe tylko w godzinach otwarcia”, a zatem należy przyjąć, że miał on uzasadnione przekonanie, że nie ma alternatywy dla tego systemu, gdyż nie zostały mu one odpowiednio zakomunikowane. Oznacza to, że zgoda, którą próbowano uzyskać od skarżącego w tym czasie, nie byłaby ważna. W tych okolicznościach duński organ znajduje podstawy do oceny, że zgoda, którą SHC próbowało uzyskać od skarżących, nie była dobrowolna, a tym samym była nieważna.

Duński organ ochrony danych w związku z tym upomniał administratora, aby poinformował wystarczająco klientów o alternatywnych metodach dostępu do siłowni.

Systemy AI wdrożone zgodnie z RODO

Wykorzystywanie systemów AI (tu systemu rozpoznawania twarzy) powinno być oparte na odpowiedniej podstawie prawnej. Jeśli będzie to zgoda, należy pamiętać o odpowiednich warunkach jej wyrażenia.

 

Źródło:

https://www.datatilsynet.dk/afgoerelser/afgoerelser/2024/jul/samtykke-til-ansigtsgenkendelse-i-fitnesscenter-var-gyldigt

 

Jesteśmy częścią grupy Omni Modo
Odwiedź nas na naszych profilach
Newsletter
Ustawienia cookies