A mobil és online arcfelismerési szolgáltatásokról szóló állásfoglalás (WP 192)

A 29. cikk szerinti adatvédelmi munkacsoport 2012. március 22-én fogadott el állásfoglalást a mobil és online arcfelismerési szolgáltatásokról. Az állásfoglalás kibocsájtásának indoka, hogy ez a technológia az elmúlt időszakban villámgyors fejlődést mutatott, ami több adatvédelmi problémát is felvetett. Ilyen technológiát nyújt többek között a Google és a Facebook, továbbá mobil telefonok is lehetőséget biztosítanak ilyen szolgáltatás igénybe vételére. Ezzel párhuzamosan problémaként jelentkezik, hogy e szolgáltatás jellemzően automatikusan bekapcsolt, a felhasználó nem mindig rendelkezik megfelelő tájékoztatással annak igénybe vételéről s működéséről, harmadik személyek is érintettek lehetnek általa, illetve az sem biztosított mindig, hogy az az adatalany elvárásával és akaratával összhangban működik.


Az „arcfelismerést” a munkacsoport a véleményében akként határozta meg, hogy az egyének arcképét tartalmazó digitális képek automatikus feldolgozását (adatkezelését) értik e fogalom alatt, melynek célja az érintett azonosítása, hitelesítése vagy az érintett csoportosítása/kategorizálása.

A munkacsoport álláspontja szerint azon digitális képek, melyek az érintett arcát tisztán láthatóan megjelenítik és lehetővé teszik ezáltal az érintett azonosítását, személyes adatnak minősülnek, melyre az adatvédelmi irányelv szabályozása irányadó. Egyben utalt arra a munkacsoport, hogy egyéneket mutató távoli képek, illetve elhomályosított arcok esetében az ilyen képek jellemzően nem minősülnek személyes adatnak. Rögzítendő továbbá, hogy egy kép több érintett személyes adatát is tartalmazhatja, illetve az azonos felvételen való szereplés is alkalmas arra, hogy az valamely, felvétel szereplői közötti kapcsolatra utaljon. A munkacsoport itt utal a személyes adat fogalmáról kibocsájtott 4/2007. számú állásfoglalására, amely szerint az is a személyes adat minőségre utal, amennyiben az adat az egyén jellemzőire, tulajdonságaira vagy viselkedésére vonatkozik, vagy ha az ilyen információt annak meghatározására vagy befolyásolására használják, ahogyan az adott személyt kezelik vagy értékelik.

Az ún. „referencia minta”, tehát az a kép, melyet az érintett képéből létrehozva az érintett arcképének megkülönböztető jellemzőit rögzíti és a jövőbeni azonosítás, illetve hitelesítés célját szolgálja – szintén személyes adatnak minősül. Ezzel szemben a kategorizálást szolgáló minta, illetve megkülönböztető jegyek általánosan és önmagukban nem alkalmasak az érintett azonosítására és nem személyes adatok, amennyiben a sablon nincs valamely érintett adatához, profiljához vagy képéhez rendelve.

A munkacsoport arra is utalt, hogy egyének olyan képe, illetve mintája, amely biológiai jellegzetességekre, pszichológiai sajátosságokra, életvitelre vagy olyan ismétlődő tevékenységre utalnak, amelyek során e jellegzetességek és/vagy tevékenységek egyedülállóak az érintett egyén vonatkozásában, továbbá mérhetőek, biometrikus adatnak minősülnek. A képek továbbá különleges személyes adatoknak is minősíthetők, amennyiben azokat céljuk szerint különleges személyes adatokként kezelik, így faj / származás azonosítása, vallási vagy egészségügyi célból.

A számítógépes arcfelismerés a munkacsoport szerint automatizált adatkezelésnek minősül, melynek adatkezelői tipikusan weboldalak, illetve webes szolgáltatások üzemeltetői, illetőleg mobil alkalmazás üzemeltetők, akik meghatározzák az arcfelismeréssel kapcsolatos adatkezelés célját és eszközeit.

Az arcfelismeréssel kapcsolatos adatkezelésének teljesítenie kell a 6. cikk szerinti adatminőségi követelményeket (szükségesség, arányosság, célhoz kötöttség), továbbá annak megfelelő 7. cikk szerinti adatkezelési jogalapon kell alapulnia. A munkacsoport szerint – a biometrikus adatok kezelésére vonatkozó kockázatokból következően – digitális fotók kezelésének megkezdéséhez az érintett hozzájárulása szükséges, azonban bizonyos esetekben az adatkezelőnek egyes adatkezelési lépéseket meg kell tennie annak érdekében, hogy az érintett hozzájárulásának meglétét ellenőrizze. Ez utóbbi szigorúan célhoz kötött adatkezelés jogalapja az adatkezelő jogos érdeke lehet, melynek célja az adatkezelő adatvédelmi jogszabályok szerinti törvényi kötelezettségeinek teljesítése. Amennyiben ezen adatkezelési lépések alapján (a képek összehasonlítása során) megállapítható, hogy a felhasználó nem adott hozzájárulást, a vonatkozó adat nem kezelhető, illetőleg azt haladéktalanul törölni kell azt. Ez a megoldás teszi lehetővé azt, hogy regisztrált és nem regisztrált felhasználók digitális képeit ideiglenesen egyaránt kezelhesse a szolgáltató, mivel a hozzájárulás megadásának ellenőrzése szükségszerűen csak az adatalany azonosítást követően végezhető el.

A munkacsoport szerint a digitális kép feltöltését megelőzően a közösségi oldal regisztrált felhasználóját egyértelműen és világosan tájékoztatni kell az arcfelismerés alkalmazásáról. Ezt meghaladóan is lehetőséget kell biztosítani a felhasználónak, hogy hozzájárul-e a képhez tartozó „referencia minta” referencia adatbázisba való feltöltéséhez. Ennek megfelelően nem regisztrált felhasználók, illetve ilyen adatkezelést elutasító felhasználók esetében a rendszer nem jelzi a megjelölés (tagelés) lehetőségét, hanem a feltöltött kép vonatkozásában nem ad találatot (no match).

A munkacsoport arra is utal, hogy a kép feltöltőjének hozzájárulása nem képezheti jogalapját a képen szintén megjelenő harmadik személyek személyes adatai kezelésnek, ezért utóbbi adatok esetében az adatkezelő jogos érdeke lehet az adatkezelés alapja, feltéve, hogy megfelelő intézkedések védik az ilyen személyek jogait. Ez magába foglalja azt, hogy amennyiben nincs találat, úgy a vonatkozó mintát és a kapcsolódó adatokat törlik, illetve az ilyen érintettet adatait nem rögzítik a referencia adatbázisban. Ezt meghaladóan az adatkezelő (például egy közösségi oldal) a felhasználók számára eszközöket biztosíthat a képen szereplő arcképek felismerhetetlenné tételére is.

Amennyiben az arcfelismerést hitelesítésre használják – például egy belépési név, illetve jelszó kiváltására –, úgy az egyén kamera elé állása abból a célból, hogy a készülékbe, illetve online szolgáltatásba belépjen, akként tekinthető, hogy a hitelesítéssel kapcsolatos adatkezeléshez hozzájárulását adta (abban az esetben is, ha nem a saját készülékéről van szó). A hozzájárulás érvényessége érdekében azonban a munkacsoport szerint az arcfelismerés mellett egy alternatív, magánéletbarát belépési lehetőséget is fenn kell tartani. (például egy erős jelszó megkövetelése útján)

Ezt meghaladóan a munkacsoport hangsúlyozza, hogy más szolgáltatás keretében rendelkezésre álló képek (pl. kereső szoftverben) arcfelismerési célú felhasználása megsérti a célhoz kötöttség követelményét, ugyanis hozzájárulást ily módon az eltérő célú adatkezeléshez nem tudnak beszerezni, illetve a kép feltöltője sem várja el racionálisan, hogy ezen képeket arcfelismerés céljából használják fel.

A munkacsoport szerint különleges hangsúlyt kell fektetni az érintettek tájékoztatására, melynek közvetlenül az érintett irányában szükséges eleget tenni, illetve hosszabb távú adatkezelés esetén ennek megismétlése is szükségessé válhat. Ennek megfelelően nem „rejthető el” az arcfelismeréssel kapcsolatos tájékoztatás, hanem annak könnyen hozzáférhető helyen és jól érthető módon kell eleget tenni. A vonatkozó képeket rögzítő kamerák ennek megfelelően nem működhetnek elrejtve. Ebben az összefüggésben az arcfelismeréshez adott hozzájárulás nem adható meg pusztán egy ÁSZF elfogadása útján, kivéve, ha az adott szolgáltatás elsődleges célja az arcfelismerés. Figyelembe kell venni, hogy a felhasználók nem feltétlenül számolnak a szolgáltatás aktivált állapotával, ezért azt elsődlegesen kikapcsolt állapotban kell a felhasználó rendelkezésére bocsájtani.

A hozzájárulás megadása mellett egyaránt fontos, hogy a felhasználó a hozzájárulását bármikor, egyszerűen visszavonhassa. Visszavonást követően az arcfelismerés céljából végzett adatkezelés azonnal megszüntetendő.

Végül a munkacsoport az arcfelismerés speciális adatvédelmi kockázataihoz mérten ún. ajánlásokat tesz legjobb gyakorlatok kialakítására:

  1. számú ajánlás: amennyiben a képet az adatkezelő közvetlenül rögzíti, ebben az esetben a felvételt megelőzően biztosítani kell az adatalany érvényes hozzájárulásának megadását, továbbá megfelelő tájékoztatást szükséges nyújtani az arcfelismerésről;
  2. számú ajánlás: amennyiben a képeket feltöltik, az adatkezelőnek biztosítania kell, hogy a képet feltöltők hozzájárultak az arcfelismeréssel kapcsolatos adatkezeléshez;
  3. számú ajánlás: amennyiben a képek harmadik személyektől származnak, úgy ezen képek az adatok forrásának és a képek megszerzésének körülményeit figyelembe véve csak abban az esetben kezelhetők, amennyiben az adatalanyok hozzájárultak ezen adatkezeléshez;
  4. számú ajánlás: az adatkezelőknek biztosítaniuk kell, hogy a digitális képeket és mintákat az eredeti célhoz kötötten kezelik. Ennek megfelelően az adatkezelőnek olyan technikai megoldást kell implementálnia, ami csökkenti annak kockázatát, hogy harmadik személyek azokat olyan (eltérő) célból kezeljék, melyekhez hozzájárulást az adatalany nem adott. Az adatkezelőnek biztosítania szükséges, hogy a feltöltött képek láthatósága – alapbeállításként – harmadik személyek részére korlátozott;
  5. számú ajánlás: Nem regisztrált, illetve hozzájárulást nem adó felhasználók képei vonatkozásában biztosítani szükséges, hogy az adatkezelő csak annyiban kezelje ezeket arcfelismerési célból, amennyiben ehhez jogos érdeke fűződik;
  6. számú ajánlás: az adatkezelőnek megfelelő lépéseket kell tennie az adatbiztonság érdekében, mikor a felvétel és a további adatkezelési lépések között az adatot továbbítják. Ez megfelelő kriptográfiai eljárások bevezetését jelentheti, illetve hitelesítés esetében a helyben történő (adattovábbítás nélküli) adatkezelés részesítendő előnyben.
  7. számú ajánlás: a digitális képből minta generálása esetére biztosítani kell, hogy ez csak a célhoz kötött szükséges információt tartalmazza és további célból való felhasználás korlátozott legyen. A minta arcfelismerési rendszerek közötti továbbítása szintén korlátozandó.
  8. számú ajánlás: az adatkezelőnek biztosítania kell a tárolt adatok biztonságát, illetve védenie kell a mintát, illetve a tárolás helyét a jogosulatlan hozzáféréstől. Hitelesítési célból arcfelismerés esetében biometrikus titkosítási megoldások is alkalmazhatóak, mikor a kriptográfiai kulcs közvetlenül a biometrikus adathoz kötött és az csak a megfelelő biometrikus minta prezentálása esetén kerül feloldásra, mikor is ún. „nyom nélküli” (untracable) biometrikus azonosítás történik.
  9. számú ajánlás: az adatkezelőnek megfelelő eljárásokat kell biztosítania az adatalany részére, hogy az hozzáférési jogát mind az eredeti kép, mind pedig az arcfelismerés keretében generált minta vonatkozásában alkalmazhassa.