A hatékonyabb gépi tanuló (Machine Learning, ML) algoritmusok kifejlesztését és alkalmazását lehetővé tevő informatikai műszaki fejlődés egyik következménye az elmúlt évtizedben a képelemző, arcfelismerő technológiák nagymértékű fejlődése. Ennek a fejlődésnek az eredménye, hogy ma már teljesen hétköznapinak számít a nagyfelbontású kép- és videofelvételek készítésére alkalmas eszközök alkalmazása, a kép- és videofelvételek elemzésére üzleti modellt építő vállalkozások terjedése szerte az egész világon. Ezzel a technológiai fejlődéssel párhuzamosan megjelent az igény a technológia szabályozására, ezért az európai adatvédelmi gyakorlatban is középpontba került.
Az arcfelismerő technológiák lényege, hogy az ML algoritmus „tanítása” (finomhangolása) során feldolgozott emberi arcképekről készült biometrikus sablon jön létre. A technológia természetéből fakad, hogy az ML fekete dobozként viselkedik, így a biometrikus sablon létrehozásának jellemzőit nehéz, illetve a konkrét technológiai megoldás ismerete nélkül nem lehetséges utólag feltárni, kizárólag csak az ML output valószínűségi válaszát, hogy az adott képfelvételen emberi arc szerepel vagy sem. Az arcfelismerés ezt követően lényegében az ML számára „bemutatott” video vagy kép-stream megfelelő digitális vágása, illetve a kijelölt területek összevetése a tanítás során kialakított biometrikus sablonnal. A 29. cikk szerinti Adatvédelmi Munkacsoport 2/2012-es véleménye három fő alkalmazási területet különböztet meg
(i) azonosításhoz alkalmazott arcfelismerés (identification);
(ii) authentikáláshoz / verifikáláshoz alkalmazott arcfelismerés (authentication) és
(iii) kategorizáláshoz (categorization) alkalmazott arcfelismerés.
Mindhárom alkalmazási terület vonatkozásában az általános európai adatvédelmi gyakorlat töretlen álláspontja, hogy ezen emberi arcjellemzők biometrikus sablonba rendezése, ezen sablon kezelése személyes adatnak, azon belül is biometrikus adatnak minősül. Így az arcfelismerő technológiák alkalmazása az adatkezelő részéről biometrikus adatok kezelésével jár, amelyek a GDPR 9. cikk (1) bekezdésére figyelemmel, amennyiben azok kezelése természetes személyek egyedi azonosítását célozzák, különleges adatoknak is minősülnek.
Az arcfelismerő technológiákkal kapcsolatos kockázatok
Az arcfelismerő technológiák alkalmazásával kapcsolatos kockázatokat általánosságban két részre lehet bontani:
(i) az ML-t érintő technológiai, adatbiztonsági kockázatok, illetve
(ii) a biometrikus adatok kezelését érintő adatvédelmi jogi kockázatok.
Az ML-t érintő technológiai, adatbiztonsági kockázatok közé tartoznak az ML tanítása, illetve élesüzemi alkalmazása során kihasznált sérülékenységekből fakadó kockázatok, mint például képi interferencia alkalmazása, digitális zaj a képhez való hozzáadása, image poisoning vagy adversarial reprogramming támadások kivitelezése, amelyek az arcfelismerést végző ML nem megfelelő működéséhez, false positive (pl. sportkocsi helyett emberi arc felismerése) és/vagy false negative (pl. emberi arc helyett sportkocsi felismerése) felismerési eredményekhez vezetnek. Ezen támadások eredménye tehát adatbiztonsági és adat pontossági jogi kritériumok mellett a biometrikus sablon téves alkalmazásán alapuló automatizált adatkezelés. Az adatkezelőtől így a GDPR 5., 24-25. és 32. cikkei alapján elvárás, hogy az ML tanítása, illetve alkalmazása során megfelelő intézkedéseket tegyenek az ML pontos működésének a biztosítására és a biometrikus sablon valószínűségi kiértékelését zavaró vagy meggátló tényezőkkel szembeni védelemre.
Az adatvédelmi jogi kockázatok elsősorban abból fakadnak, hogy a biometrikus adatok egyediek és közvetlenül az egyénhez kötődnek és az ilyen adatok bizalmasságának vagy sértetlenségének esetleges sérülése az egyén számára helyre nem állítható károkat okozhat, ezért az arcfelismerő technológiák alkalmazása különösen intruzív, magánéletbe súlyosan beavatkozó jellegű, amiért az érintett jogaira és szabadságaira nézve magasabb kockázatot hordoz ezen biometrikus adatok kezelése.
A GDPR alkalmazandóvá válása óta a biometrikus adatok fokozottabb jogi védelemben részesülnek, mivel, ha a biometrikus adatok kezelése természetes személyek egyedi azonosítását célozza, akkor a biometrikus adatok kezelése esetén az adatkezelőnek a különleges adatokra irányadó többletfeltételeket is teljesíteni szükséges a GDPR 9. cikke alapján. A GDPR 9. cikk (4) bekezdése szerinti nyitóklauzula pedig lehetővé teszi a tagállami jogalkotó számára, hogy a tagállamok további feltételeket – köztük korlátozásokat – tartsanak hatályban, illetve vezessenek be biometrikus adatok kezelésére. A biometrikus adatok kezelésével járó magas kockázatok kezelését a GDPR hatásvizsgálat kötelező előírására vonatkozó rendelkezései, a magyar adatvédelmi hatóság 2018. novemberében közzétett feketelistája, illetve az ilyen adatok kezelését fő tevékenységként nagy számban kezelő szervezetek adatvédelmi tisztviselő kötelező kijelölésére vonatkozó rendelkezései, illetve az automatizált döntéshozatalra vonatkozó rendelkezések árnyalják.
Az arcfelismerő rendszerek tervezése és működtetése során az adatkezelőnek kell biztosítani a megfelelő jogalap alkalmazását, amely use-case-nként mérendő fel. Privát szférában, üzleti célú megoldásoknál ez gyakorlatilag a GDPR 9. cikk (2) bekezdés a) pontja szerinti, az érintett kifejezett hozzájárulására korlátozódik.
Az adatkezelőnek ezen túlmenően szintén intézkedéseket kell hozni a
(i) a jogszerű adatkezelést megalapozó cél azonosításában;
(ii) a megfelelő transzparencia és tájékoztatás biztosítása érdekében;
(iii) az adatminimalizálás elvének biztosításában,
(iv) a megfelelő adatbiztonsági szervezési és tervezési intézkedések végrehajtásában (egyrészt a fenti kockázatok, másrészt amiatt, mert a biometrikus adatok kompromittálódása esetén nem lehetséges az azonosító adatok cseréje),
(v) a szükséges adatvédelmi hatásvizsgálatok elvégzésében, valamint
(vi) a megfelelő adatvédelmi incidenskezelési eljárások kidolgozásában és implementálásában.
Adatkezelőként kiemelt felelősség hárul az adatalanyok megfelelő elvárásainak figyelembevételére és kezelésére. Ez nagymértékben összefügg az arcfelismerő technológiák társadalmi elfogadottságával, azzal, hogy a nyugat-európai társadalmakban az ilyen és hasonló technológiák jellemzően társadalmi ellenállásba ütköznek és jellemzően – meghatározott állami céloktól eltekintve – alacsony a társadalmi elfogadottságuk, mivel ezen technológiák „mindenütt jelen lehetnek”. A továbbiakban az egyes európai fejlemények főbb pontjait mutatjuk be.
Az Európai Adatvédelmi Testület álláspontja
Az Európai Adatvédelmi Testület által 2019. július 10. napján elfogadott videóeszközök útján történő adatkezeléssel kapcsolatos ajánlása („Ajánlás”) szintén érinti az arcfelismerő technológiákkal kapcsolatos adatkezeléseket. Az Ajánlás kifejezetten adatvédelmi jogi szempontból értékeli röviden az arcfelismerő technológiák alkalmazását, a kapcsolódó kockázatokat érintőlegesen tárgyalja, ahogyan az arcfelismerő technológiák alkalmazásával kapcsolatos etikai, társadalmi követelményeket is.
Kiemeli az Ajánlás az alkalmazott CCTV rendszerek, biztonsági kamerák hétköznapi megszokottságát és elfogadottságát; ugyanakkor óv az ezen keresztül rögzített videofelvételek másodlagos felhasználásától, az eredeti céltól eltérő adatkezeléstől. Az Ajánlás az arcfelismerő technológiák útján kezelt adatokat biometrikus adatként minősíti – megerősítve a Munkacsoport korábbi állásfoglalását (lásd fentebb) – és a biometrikus adatok kezelésével járó komplex technológiákat intruzívként írja le azzal, hogy az egyes felhasználási módok között jelentős eltérések lehetnek. Az Ajánlás szerint azon felhasználási esetekben, ahol az adatkezelők az arcfelismerő technológia útján biometrikus sablonokat hoznak létre, a video- és képfelvételek nyers adatait nyomban, visszavonhatatlanul és biztonságosan törölni szükséges. Azon sablonok esetében, amelyeknél hosszabb ideig szükséges azokat megőrizni, meg kell határozni azok tárolási idejét és gondoskodni kell arról, hogy ennél tovább nem tárolja az adatkezelő, különösen nem menti külön mentésként (back-upban) vagy archiválja. Személyazonosítási célra alkalmazott arcfelismerés esetén az adatkezelőnek alternatív megoldást is fel kell kínálnia. Kiemeli az Ajánlás, hogy az adatkezelőknek különös gonddal szükséges eljárni a biometrikus sablonok tárolásával, valamint a GDPR 32. cikke szerinti adatbiztonsági követelmények betartásával kapcsolatban.
Az otthoni adatkezelések körében nem tér ki az Ajánlás az arcfelismerő technológiák alkalmazására, kérdéses így az ezzel kapcsolatos testületi álláspont. Véleményünk szerint a biometrikus adatok kezelése – a jogalkotó ab ovo értékelése alapján – olyan szintű kockázatot jelent, amely az egyébként megengedett otthoni adatkezelés körében sem jogszerű.
Kiemeli az ajánlás, hogy az arcfelismerő technológiák alkalmazásakor különösen törekedni kell az adatkezelés jogszerűségének, szükségességének, arányosságának, valamint az adatminimalizálás elveinek gyakorlati biztosítására. Emiatt az adatkezelőknek előzetesen szükséges felmérni, hogy lehetséges-e az adatkezelési célt kevésbé intruzív eszközökkel is elérni. Az Ajánlás a jogszerű adatkezelés jogalapjában jellemzően az üzleti célú felhasználás esetében az érintett GDPR 9. cikk (2) bekezdés a) pontja szerinti kifejezett hozzájárulásban látja. Ugyanakkor, ha az adatkezelés célja egyes személycsoportok (kategóriák) másiktól való megkülönböztetése, úgy az az elfogadott Ajánlás szerint nem esik a 9. cikk hatálya alá. Így általános éllel az a következtetés vonható le az Ajánlás alapján, hogy felhasználási esetről felhasználási estre szükséges mérlegelni, hogy az alkalmazott arcfelismerő technológia az adatkezelő oldalán biometrikus adatok kezelését jelenti, illetve, ha igen, akkor mely jogalap alkalmazandó. Amennyiben az érintett kifejezett hozzájárulása szükséges az arcfelismerő technológia útján történő adatkezeléshez, akkor ugyanúgy teljesíteni kell a GDPR 7. cikkében foglalt követelményeket a hozzájárulás beszerzésével, kezelésével, illetve visszavonhatóságának biztosításával kapcsolatban.
Az angol ICO megközelítése
Az angol adatvédelmi gyakorlatban elsősorban az arcfelismerő technológiák rendészeti, rendőrségi használatával kapcsolatban merült fel, így az angol hatósági megközelítés is sokkal inkább alapjogi, emberi jogi, mint adatvédelmi jogi, technológiai természetű. Az angol adatvédelmi biztos nyilatkozatot adott ki, amelynek apropóját a londoni King’s Cross-on implementált és üzemeltetett arcfelismerő technológiát alkalmazó kamerák felszerelése jelentette. A nyilatkozatában kiemeli az Egyesült Királyság adatvédelmi biztosa, hogy különös kockázatot és különös fenyegetést lát abban az egyes személyek magánszférájára vonatkozóan, ha mindennapi életük során az azonosításuk miatt szkennelik az arcukat.
A nyilatkozatban foglaltakat később a nyomozó hatóságok közterületeken történő arcfelismerő technológiának alkalmazásával kapcsolatos, 2019. október 31-én közzétett véleményében is megerősítette és részletezte. Eszerint rögzítette, hogy az arcfelismerő technológiák alkalmazása során minden esetben a hatályos adatvédelmi jogi előírásokkal összhangban szükséges eljárni, amely előírások a tervezés szakaszától kezdve az adatgyűjtésen át az adattörlésig, a teljes adatkezelési életciklust felölelik. Az ICO álláspontja szerint is biometrikus adatkezelést valósít meg az arcfelismerő technológiák útján történő adatkezelés, attól függetlenül, hogy az azonosítás vagy a személy felismerés sikeres-e vagy sem. Emiatt a magasabb szintű adatvédelmi követelmények mellett adatvédelmi hatásvizsgálat elvégzése, valamint megfelelő eljárásrenddel kell rendelkeznie az adatkezelő nyomozó hatóságnak.
Az angol adatvédelmi jogi megközelítés sajátosságát stare decisis rendszerből fakadó esetjogi megkötés adja, mivel az egyesült királyságbeli rendőrség az arcfelismerő technológia alkalmazásának jogszerűségét a R (on the application of E. Bridges) v The Chief Constable of South Wales Police ügyben véli igazoltnak. Emiatt az ICO álláspontja, hogy a kormányzat által definiált kötelező erejű szabályban vagy gyakorlatban szükséges definiálni az arcfelismerő, valamint más, új biometrikus technológiák alkalmazásának követelményeit („It is the view of the Commissioner that a statutory and binding code of practice, issued by government, should seek to address the specific issues arising from police use of LFR and, where possible, other new biometrics technologies.”)
A francia adatvédelmi hatóság vitaanyaga az arcfelismerő technológiák alkalmazásáról
A francia adatvédelmi hatóság, a CNIL (Commission Nationale de L’informatique et des Libertés) 2019. november 15. napján tette közzé az arcfelismerő technológiák alkalmazásával kapcsolatos vitaanyagát. A CNIL megközelítése tehát az arcfelismerő technológiák társadalmi elfogadottságából indul ki és konszenzust keresnek ezen technológiák alkalmazásával kapcsolatban. A megközelítésük elsősorban a társadalom, illetve az adatalanyok szemszögéből – alapjogi jelleggel – kívánja felmérni azon eseteket, amelyekben egy demokratikus társadalom esetében elfogadott az ilyen technológiák alkalmazása. A vitaanyag egyik fő kérdése, hogy az arcfelismerő technológiák biztosította hatalommal szemben hogyan lehetséges az alapvető emberi jogok és szabadságok védelmét biztosítani és ezen jogokat és szabadságokat összeegyeztetni a társadalmi és egyéni biztonság kérdésköreivel, valamint a gazdasági érdekekkel. A CNIL kifejti, hogy jelenleg is számos olyan felhasználási területet ismer el, ahol indokolt lehet az arcfelismerő technológiák alkalmazása, példaként a francia ALICEM rendszert hozva, amely egy, az interneten történő azonosítást lehetővé tevő, a francia állam által fejlesztett mobilalkalmazás, illetve a PARAFE rendszer, amely lényegében egy arcfelismerésen alapuló biometrikus francia útlevél.
A francia vitaanyag – a Munkacsoport korábbi, 2012-es véleményével szemben – csupán két funkciót különböztet meg az arcfelismerő technológiákkal kapcsolatban:
(i) személyhitelesítés, ahol az arcfelismerő rendszer az általa rögzített biometrikus sablont az érintettről egy megfelelő adathordozón (pl. digitális útlevélen) előre eltárolt biometrikus sablonnal hasonlítja össze és annak eredményeként születik valamilyen automatizált döntés;
(ii) személyazonosítás, amelynek célja egy személy arcképének egy csoporton, egy nyilvános helyen, rögzített képen vagy adatbázisban való azonosítása. Ebben az esetben a francia vitaanyag szerint az elkészült biometrikus sablonokat az arcfelismerő rendszer egy adatbázisban, előre tárolt mintával hasonlítja össze, és ezen keresztül további más adatokkal, például családi állapotra vonatkozó adatokkal kapcsolathatja össze. Kiemeli a vitaanyag, hogy az arcfelismerő technológiák alkalmazhatóságát nem, vagy csak nehezen lehet általánosan megítélni, így esetről-esetre mérlegelni kell a konkrétan alkalmazni kívánt megoldás megfelelőségét.
A vitaanyag az alábbi felhasználási módokat ismerteti:
(i) Személyhitelesítés:
• alkalmazásokhoz vagy szolgáltatásokhoz való hozzáférés belföldi környezetben;
• harmadik felek által kínált szolgáltatások igénybevételének támogatása (ALICEM);
• fizikai biztonsági ellenőrzés végrehajtása (PARAFE);
(ii) Személyazonosítás:
• személyek felismerése egy rögzített képen;
• szolgáltatásokhoz való hozzáférés engedélyezése;
• egy személy útvonalának nyomon követése;
• speciálisan Franciaországban, egy személy (sértett, gyanúsított stb.) családi állapotának kutatása a francia bűnügyi nyilvántartásban;
• egy személy nyilvános térben történő mozgásának a nyomon követése;
• egy személy útvonalának és harmadik személyekkel való interakcióinak rekonstruálása;
• közúton végzett személy felismerés (pl. körözött személy azonosítása);
A CNIL az arcfelismerő technológiák alkalmazásának feltételeit így általánosságban foglalja össze, nem ad konkrét iránymutatást, csupán három követelményt határoz meg, amelyek konklúziója, hogy mérlegelni szükséges a konkrét felhasználási módot, az adatkezelés célját annak meghatározásában, hogy a demokratikus társadalmi normákkal összhangban van-e a tervezett adatkezelése.
A CNIL által vitára bocsátott három kritérium:
1. Vörös vonalak egy demokratikus társadalomban
• Bizonyos felhasználási módokat kifejezetten nem támogat a CNIL, például az iskolai arcfelismerő rendszerek alkalmazását, míg más francia állami projekteket (pl. a fentebb említett ALICEM és PARAFE) igen.
2. Az érintetti jogok és szabadságok legyenek a középpontban
• Kifejezetten kiemeli a vitaanyag a hozzájárulás, a transzparencia, valamint az adatalanyok részéről az adatkezelés feletti kontroll megőrzését; a technológiát nem szabad arra, vagy oly módon használni, hogy az emberek megszokják, elfogadják és természetesnek vegyék a magánéletükbe nagy mértékben, intruzívan beavatkozó technológiák alkalmazását.
• A vitaanyag külön kiemeli a biometrikus adatok biztonságát, mint az adatkezelők felelősségi körébe eső követelményt.
3. Transzparens kísérleti kezdeményezések
• A CNIL olyan „őszinte” kísérleti megközelítés alkalmazását javasolja, amelyet az alkalmazandó jogi kereteknek is támogatnia, biztosítania kell.
• Biztosítani kell, hogy az arcfelismerő technológiák alkalmazása nem vezet azok kontroll nélküli, vissza nem fordítható társadalmi beágyazottságához.
Zárásként kiemeli a vitaanyag a CNIL-lel való konzultáció fontosságát még a konkrét implementációt megelőzően, így kimondva jelenik meg az elvárás a hatóság részéről az igény a fokozottabb, együttműködésen alapuló társadalmi kontroll gyakorlása iránt.
A német DSK állásfoglalása a biometrikus elemzésről
A német adatvédelmi hatóságok grémiuma, a DSK 2019. április 4. napján adott ki állásfoglalást a biometrikus elemzésről, ami átfogó bemutatást tartalmaz az egyes technológiákról, azok felhasználási céljairól és eseteiről és részletezi ezek jogi értékelését. Az állásfoglalás külön felhasználási módonként tárgyalja az azonosítást, a hitelesítést, az ismételt felismerést, a profilakotást, az érzelem-elemzést, a megfigyelést, a regisztrációt, az irányítást, a reklámot, a kommunikációt és az ember-gép közötti interakciókat.
A DSK rögzíti a véleményében, hogy a GDPR 9. cikk (1) bekezdése szerinti értelemben csak akkor áll fenn biometrikus adatkezelés, ha az egy természetes személy egyértelmű azonosítását szolgálja, azaz az adatkezelés céljának az érintett egyértelmű azonosítására kell szolgálnia. Azonban az azonosítás a GDPR értelmében nem fog át minden, biometrikus adattal összefüggő azonosítási lehetőséget. Az állásfoglalás szerint a GDPR 9. cikkének célja, hogy különösen érzékeny személyes adatok kezelését korlátozza és csak különleges feltételek esetén engedélyezze ezt. A biometrikus adatok sokféleségét tekintetbe véve csak akkor minősülnek ilyen, 9. cikk hatálya alá eső adatoknak, ha ezeket egyértelmű azonosítás céljából és az ezzel összefüggően különösen kockázatos módon kezelik. Ilyen magas kockázat tehát csak automatizált biometrikus azonosítási eljárás alkalmazása esetén áll fenn. A GDPR 51. preambulum bekezdése is arra utal, hogy a biometrikus adatok egyértelmű azonosítás céljából való kezelése a 9. cikk (1) bekezdése alapján az azonosítási eljárást és a hitelesítést is magában foglalja.
A DSK véleménye mindazonáltal a biometrikus adatok kezelésének olyan eseteit is lefedi, amelyek nem tartoznak a 9. cikk (1) bekezdés hatálya alá, mivel ezen esetek nem az érintett személyek egyértelmű azonosítását szolgálják. Ennek példájaként a DSK véleménye a biometrikus arcelemzéssel végzett targetált hirdetéseket veszi alapul, amikor egy vállalkozás képernyőn található szenzorok útján lehetővé teszi, hogy a képernyő körében álló személyek biometrikus tulajdonságait rögzítse, illetve életkor és nem alapján elemezze azért, hogy a képernyőn található reklámüzenetet életkor és nem alapján a környezetben álló személyekhez igazítsa. A képfelvételek esetében kétségtelenül személyes adatok kezelésre kerül sor a GDPR 4. cikk első bekezdése értelmében, akkor is, ha ezeket csak rövid időtartamra tárolják el. A képfelvételeket biometrikus tulajdonságok alapján kiértékeli az adatkezelő, ez azonban nem az érintett személyek egyértelmű azonosításának céljából történik, hanem azért, hogy automatikusan egy meghatározott kategóriához, így életkorhoz vagy nemhez rendelhesse az eredményt az adatkezelő. Az adatkezelés jogalapja a DSK szerint ebben az esetben nem a 9. cikk (2) bekezdése, hanem a GDPR 6. cikk (1) bekezdése. Bár az adatkezelés ebben az esetben nem jár különleges adatok kezelésével, mindazonáltal, ha az adatkezelés jogalapja az adatkezelő jogos érdeke, akkor az érintettek védelmet élvező érdekei súlyozás keretében nyomatékosabban esnek latba, mivel nem lehet eltekinteni attól, hogy arcképeket rögzítenek, illetve az egyes biometriai jellemzők felvételekor biometrikus adatokat kezel az adatkezelő, amely önmagában véve is magas kockázattal jár. Ez az adatkezelés mindazonáltal csak akkor nem tartozik a GDPR 9. cikkének hatálya alá, és akkor teljesül a jogos érdekmérlegelési teszt, ha az alkalmazott megoldás nem rögzít olyan körben adatokat, ami az az érintett személyek egyértelmű azonosítását tartós időtartamra lehetővé tenné, azaz az érintettek számára fennálló kockázat az adatmegőrzés rövid időtartamát figyelembe véve is alacsony. A jogos érdekmérlegelési teszt teljesülésének feltétele a DSK szerint, hogy
(i) az adatkezelést és annak célját transzparensen feltárja az adatkezelő az érintettek részére,
(ii) az adatmegőrzés időtartama ne legyen meghosszabbítható,
(iii) az azonosítás (újra felismerés) és profilalkotás kizárt legyen, valamint
(iv) az alkalmazott informatikai megoldás és az adatkezelő technikai és szervezési intézkedések alkalmazásával zárja ki, hogy az alkalmazott informatikai megoldás olyan személyes adatok gyűjtését tegye lehetővé, amelyek az érintettek egyértelmű azonosítására szolgálnak.
Ha az alkalmazott informatikai megoldás nem zárt, mert megvan a manipuláció lehetősége és ezért az adatok potenciálisan más célból is felhasználhatóak, így különösen az érintett egyértelmű azonosítására, akkor a jogos érdekmérlegelési teszt sem fog teljesülni a technikai szervezési intézkedések elégtelensége miatt (vö. DSK állásfoglalás 29. oldala).
Konklúzió
A technológiai fejlődéssel tömegessé, gyakorlatilag filléres technológiává vált a biometrikus adatok kezelését szolgáló rendszerek alkalmazása, amelyek terjedésére az alapjogvédő szervezetek és a közvélemény mellett a jogalkotás és az európai uniós adatvédelmi hatóságok gyakorlata egyaránt kiemelt figyelmet fordít. Egységes a bemutatott állásfoglalásokban, véleményekben és vitaanyagban, hogy a biometrikus adatok kezelésével járó adatkezelést „veszélyes üzem”-ként tekintik az érintett jogaira és szabadságaira jelentett magas kockázatok miatt. Mivel a biometrikus adatok kezelésének szabályozását a GDPR 9. cikk (4) bekezdése tagállami hatáskörbe utalja, ezért számolni lehet azzal, hogy az egyes európai uniós államok eltérő feltételeket léptethetnek érvénybe az arcfelismerő technológiák tagállami alkalmazásával kapcsolatban, amely azt vetíti előre, hogy várhatóak olyan tagállami szabályozások, amelyek tovább fogják szigorítani a biometrikus technológia alkalmazását. Ugyanakkor az élénk tagállami társadalmi viták mellett az Európai Unió szintjén továbbra is egységes fellépés látszik szükségesnek ezen arcfelismerő technológiák elfogadható alkalmazásával kapcsolatos szabályozás és gyakorlat kialakításához, ezért az EU jogalkotó, szabályozó szerepe is felértékelődhet e tekintetben.
© dr. Bereczki Tamás és dr. Liber Ádám – 2019. december
