Duński organ nadzoru (Datatilsynet) wydał decyzje w sprawie siłowni, która stosowała system rozpoznawania twarzy do autoryzacji wejść na jej teren. Ponadto wskazał, jak prawidłowo zgodnie z RODO należy wdrożyć taki system.
Kontekst sprawy
Duński organ nadzoru otrzymał skargę od obywatela na to, że siłownia Sporting Health Club (SHC) wprowadziła rozpoznawanie twarzy jako metodę autoryzacji wejścia na jej teren. Skarżący wskazał, że nie było wystarczających i równoważnych alternatyw dla tego systemu wejścia.
Z dochodzenia organu nadzoru wynikało, że użytkownicy centrum fitness, którzy nie chcą wyrazić zgody na rozpoznawanie twarzy, mogą zostać wpuszczeni przez recepcję tylko w godzinach pracy personelu. Poza tymi godzinami mogą skontaktować się z całodobowym wsparciem, które może zdalnie otworzyć drzwi lub wygenerować otwierający je kod.
Legalność systemu rozpoznawania twarzy
Organ nadzoru w swoich poprzednich decyzjach wskazywał, że korzystanie z systemu rozpoznawania twarzy w centrach fitness nie narusza zasad ochrony danych, pod warunkiem że zgoda została uzyskana prawidłowo. W sprawie SHC klienci siłowni mogli wyrazić zgodę na rozpoznawanie twarzy, pobrać odpowiednią aplikację i w niej umieścić swoje zdjęcie, na podstawie którego będą rozpoznawani. Klienci, którzy nie wyrazili zgody musieli polegać na asyście personelu.
Jeśli chodzi o wykorzystanie zgody w związku z rozpoznawaniem twarzy, duński organ ochrony danych jest zdania (zgodnie z wytycznymi EROD 3/2019), że wymóg dobrowolności w takim przypadku oznacza, że administrator danych – w tym przypadku SHC – musi zaoferować alternatywne rozwiązanie, które nie obejmuje przetwarzania informacji biometrycznych. Alternatywa ta nie musi być identyczna, ale nie może wiązać się z istotnymi ograniczeniami lub kosztami dla osoby, której dane dotyczą.
W ocenie duńskiego organu ochrony danych fakt, że użytkownik ma możliwość zameldowania się w recepcji za pośrednictwem osobistej obsługi w godzinach otwarcia recepcji, sam w sobie nie może być uznany za podobną alternatywę, ponieważ w ten sposób dostęp do centrum jest ograniczony w porównaniu z sytuacją, w której użytkownik wyraził zgodę na rozpoznawanie twarzy. Jednakże, jeśli użytkownik nie chce wyrazić zgody na rozpoznawanie twarzy, SHC daje mu również inne możliwość oprócz recepcji – zadzwonienia do pomocy technicznej, która może otworzyć drzwi lub wygenerować kod.
W związku z tym te alternatywne opcje zapewniają taki sam dostęp do centrum, jak zgoda na rozpoznawanie twarzy i nie wiążą się ze znacznymi ograniczeniami lub kosztami finansowymi. Duński organ ochrony danych wskazał zatem, że SHC oferuje wystarczające alternatywy dostępu do siłowni.
Jednakże oprócz dobrowolności, zgoda musi być również świadoma – osoba, której dane dotyczą, musi zdawać sobie sprawę z tego na jakie operacje przetwarzania się godzi. Oznacza to, że administrator zobowiązany jest dostarczyć szereg informacji zapewniających, że decyzja będzie świadoma. W kontekście rozpatrywanej sprawy uznano, że osoba musi zostać poinformowana o alternatywach, które są dostępne wobec wyrażenia zgody na rozpoznawanie twarzy. Duński organ ustalił, że SHC podjęło pewne wysiłki, aby to zrobić, m.in. na ekranach informacyjnych przy wejściu do centrów fitness oraz w polityce firmy dotyczącej danych osobowych. Jednakże informacje te wydają się fragmentaryczne. Klient sam musi znaleźć szczegółowe informacje na temat możliwych alternatyw, czy dowiedzieć się, co oznacza „kod” i odniesienie do „wsparcia” na ekranach informacyjnych przy wejściu do centrów fitness.
Skarga klienta
Duński organ wskazał, iż skarżący otrzymał informację, że „jeżeli członek nie chce wyrazić zgody na rozpoznawanie twarzy, trening w naszych centrach jest możliwe tylko w godzinach otwarcia”, a zatem należy przyjąć, że miał on uzasadnione przekonanie, że nie ma alternatywy dla tego systemu, gdyż nie zostały mu one odpowiednio zakomunikowane. Oznacza to, że zgoda, którą próbowano uzyskać od skarżącego w tym czasie, nie byłaby ważna. W tych okolicznościach duński organ znajduje podstawy do oceny, że zgoda, którą SHC próbowało uzyskać od skarżących, nie była dobrowolna, a tym samym była nieważna.
Duński organ ochrony danych w związku z tym upomniał administratora, aby poinformował wystarczająco klientów o alternatywnych metodach dostępu do siłowni.
Systemy AI wdrożone zgodnie z RODO
Wykorzystywanie systemów AI (tu systemu rozpoznawania twarzy) powinno być oparte na odpowiedniej podstawie prawnej. Jeśli będzie to zgoda, należy pamiętać o odpowiednich warunkach jej wyrażenia.
Źródło: