Irlandzki rząd ukarany za rozpoznawanie twarzy!

W zaskakującym obrocie wydarzeń, które wielu interpretuje jako karę wymierzoną w samo państwo, nałożyła irlandzka Komisja Ochrony Danych Osobowych (DPC). Tę gigantyczną grzywnę w wysokości 550 000 euro na Departament Ochrony Socjalnej (DSP) nałożyła Komisja Ochrony Danych Osobowych, co jest zaskakujące. Powodem jest natomiast naruszenie przepisów o ochronie prywatności, wynikające z wykorzystania technologii rozpoznawania twarzy w procesie rejestracji Karty Usług Publicznych, znanej jako „rejestracja SAFE 2”.

Dochodzenie DPC rozpoczęte w lipcu 2021 roku wykazało, że DSP dopuściło się szeregu naruszeń Ogólnego Rozporządzenia o Ochronie Danych (RODO). Główne zarzuty dotyczyły:

• Braku ważnej podstawy prawnej do gromadzenia danych biometrycznych (wzorców twarzy).
• Nieprawidłowego przechowywania zebranych danych biometrycznych.
• Niewystarczającej przejrzystości informacji dla osób, których dane dotyczą.

Jak zaznaczył Graham Doyle, zastępca komisarza DPC, dochodzenie skupiło się na ocenie, czy ramy prawne dla rejestracji SAFE 2 są zgodne z wymogami RODO, a nie na bezpieczeństwie technicznym systemu. DPC nie znalazła bowiem żadnych dowodów na niewystarczające środki bezpieczeństwa technicznego i organizacyjnego wdrożone przez DSP.

Oprócz kary finansowej DPC wydała nakaz Departamentowi Ochrony Socjalnej zaprzestanie przetwarzania danych biometrycznych w związku z rejestracją SAFE 2 w ciągu dziewięciu miesięcy, chyba że znajdzie on ważną podstawę prawną.

Pomimo decyzji DPC Departament Ochrony Socjalnej utrzymuje, że posiada ważną podstawę prawną i spełnia wymogi przejrzystości. Rzecznik departamentu zaznaczył, że decyzja DPC nie stwierdza braku przepisów prawnych, lecz ich niewystarczającą jasność i precyzję w świetle RODO. DSP zapowiada dokładną analizę raportu i rozważy odwołanie się od nakazu lub podejmie działania w celu rozwiązania problemów.

Dobrą wiadomością dla mieszkańców Irlandii jest to, że dziewięciomiesięczny termin oznacza, że nie będzie żadnych bezpośrednich konsekwencji dla użytkowników Kart Usług Publicznych lub MyGovID w najbliższym czasie.

Decyzja DPC jest ukoronowaniem długotrwałych kontrowersji wokół Karty Usług Publicznych. Irlandzka Rada Swobód Obywatelskich (ICCL) od dawna alarmowała, że obowiązkowe stosowanie technologii rozpoznawania twarzy jest niezgodne z prawem. Joe O’Brien – dyrektor wykonawczy ICCL określił decyzję DPC jako „częściowe zwycięstwo praw do prywatności i ochrony danych”. Podkreślił, że Karta Usług Publicznych, która kosztowała państwo około 100 milionów euro, naruszała prawa człowieka oraz prawo UE i Irlandii. ICCL wzywa również do usunięcia tej „nielegalnej bazy danych zawierającej dane biometryczne milionów Irlandczyków”.

Ta sprawa podkreśla napięcie między dążeniem państwa do cyfryzacji usług publicznych a koniecznością przestrzegania praw obywateli, a także do prywatności i ochrony danych. Wynik dalszych działań DSP i ewentualnych apelacji będzie miał kluczowe znaczenie dla przyszłości wykorzystania biometrycznych danych w Irlandii.

Bogdan Feręc

Źr. RTE

Fot. Dzięki uprzejmości RTE