Irlandzka Komisja Ochrony Danych ogłasza zakończenie dochodzenia ws. wykorzystania technologii dopasowywania twarzy w związku z Kartą Usług Publicznych przez Departament Ochrony Społecznej
Irlandzka Komisja Ochrony Danych (DPC) ogłosiła swoją ostateczną decyzję po zakończeniu dochodzenia dotyczącego Departamentu Ochrony Społecznej (DSP). Dochodzenie, rozpoczęte w lipcu 2021 r., dotyczyło przetwarzania przez DSP biometrycznych szablonów twarzy oraz wykorzystania powiązanych technologii dopasowywania twarzy w ramach procesu rejestracji do Karty Usług Publicznych, znanego jako „rejestracja SAFE 2”.
Tło sprawy
Dochodzenie to było kontynuacją wcześniejszego postępowania prowadzonego przez DPC w sprawie niektórych aspektów przetwarzania danych osobowych przez DSP w związku z wydawaniem Kart Usług Publicznych, które zakończyło się w 2019 r. DSP początkowo złożył apelację od decyzji DPC do Sądu Okręgowego, jednak została ona ostatecznie wycofana, a wspólne porozumienie między DPC a DSP oraz końcowy raport z tamtego dochodzenia zostały opublikowane w grudniu 2021 r.
W raporcie tym wskazano, że przetwarzanie danych osobowych, w tym danych biometrycznych, przez DSP w ramach rejestracji SAFE 2 miało zostać rozpatrzone osobno przez DPC. Dzisiejsza decyzja jest wynikiem tego odrębnego dochodzenia.
Uzasadnienie dochodzenia
Rejestracja SAFE 2 jest obowiązkowa dla każdej osoby ubiegającej się o Kartę Usług Publicznych. Osoby, które nie poddadzą się temu procesowi, nie mają dostępu do usług DSP, w tym świadczeń socjalnych. Wdrożenie SAFE 2 doprowadziło do masowego gromadzenia, przechowywania i przetwarzania danych osobowych o wysokim stopniu wrażliwości, w tym danych biometrycznych w postaci szablonów twarzy.
Zgodnie z RODO dane biometryczne są kategorią szczególną, wymagającą wyższych standardów ochrony. W 2021 r. DSP posiadał biometryczne szablony twarzy dotyczące 70 proc. populacji kraju.
Technologia dopasowywania twarzy wykorzystywana przez DSP wiąże się z tworzeniem danych biometrycznych dotyczących znacznej części społeczeństwa. Skala i inwazyjność tego przetwarzania wymagają precyzyjnego uzasadnienia prawnego. Zgodnie z orzecznictwem europejskim konieczne jest, aby przepisy były precyzyjne i przewidywalne, tak żeby chronić przed arbitralną ingerencją w prawa jednostki.
W związku z powyższym rejestracja SAFE 2 musi się opierać na jasnych i precyzyjnych podstawach prawnych, które określają konkretne zasady i zabezpieczenia dotyczące charakteru oraz sposobu przetwarzania danych biometrycznych niezależnie od celów polityki publicznej i korzyści, jakie ma przynieść.
Zakres dochodzenia
Dochodzenie obejmowało analizę następujących kwestii:
• Czy DSP posiadał podstawę prawną do zbierania danych biometrycznych w celu dopasowywania twarzy w ramach rejestracji SAFE 2;
• Czy DSP posiadał podstawę prawną do przechowywania danych biometrycznych zebranych w ramach rejestracji SAFE 2;
• Czy DSP spełnił obowiązki informacyjne wobec osób poddających się rejestracji SAFE 2;
• Czy DSP przeprowadził odpowiednią ocenę skutków dla ochrony danych (DPIA) w ramach rejestracji SAFE 2.
Ustalenia
Decyzja DPC, wydana przez komisarza Dale’a Sunderlanda i przekazana DSP w tym tygodniu, stwierdza, że DSP:
• Naruszył art. 5 ust. 1 lit. a, art. 6 ust. 1 oraz art. 9 ust. 1 RODO, nie wskazując ważnej podstawy prawnej dla zbierania danych biometrycznych w ramach rejestracji SAFE 2;
• W związku z powyższym naruszył art. 5 ust. 1 lit. e RODO, przechowując dane biometryczne zebrane w ramach rejestracji SAFE 2;
• Naruszył art. 13 ust. 1 lit. c oraz art. 13 ust. 2 lit. a RODO, nie zapewniając wystarczająco przejrzystych informacji dla osób rejestrujących się w SAFE 2;
• Naruszył art. 35 ust. 7 lit. b i c RODO, nie uwzględniając określonych informacji w ocenie skutków dla ochrony danych dotyczącej rejestracji SAFE 2.
Środki naprawcze
W związku z powyższymi naruszeniami DPC udzielił DSP upomnienia, nałożył administracyjne kary finansowe w łącznej wysokości 550 tys. euro oraz wydał nakaz zaprzestania przetwarzania danych biometrycznych w ramach rejestracji SAFE 2 w ciągu dziewięciu miesięcy od daty decyzji, jeśli DSP nie wskaże ważnej podstawy prawnej.
Komentarz zastępcy komisarza Grahama Doyle’a:
„Warto podkreślić, że żadne z ustaleń dotyczących naruszeń ani zastosowane środki naprawcze nie odnoszą się do samego wdrożenia rejestracji SAFE 2 jako zasady. DPC nie stwierdziła żadnych uchybień w zakresie technicznych i organizacyjnych środków bezpieczeństwa zastosowanych przez DSP w związku z rejestracją SAFE 2 w ramach tego dochodzenia.
Celem dochodzenia było ustalenie, czy obecne ramy legislacyjne dla rejestracji SAFE 2 są zgodne z przepisami o ochronie danych oraz czy DSP prowadzi rejestrację SAFE 2 w sposób zgodny z RODO. Ogłoszone ustalenia wskazują na szereg niedociągnięć w tym zakresie”.
Źródło:
Komunikat Irlandzkiego Organu Ochrony Danych
