Kad govorimo o video nadzoru i identifikaciji snimljenih osoba koristeći sustave za prepoznavanje lica, neupitno govorimo o biometriji. Prema GDPR-u, biometrijske podatke smatramo osobnim podacima posebne kategorije, te je njihova obrada dozvoljena samo ako su ispunjeni određeni dodatni uvjeti. Voditelj obrade u tom slučaju preuzima i obvezu uspostave dodatnih mjera kako bi osigurao primjereno visoku razinu sigurnosti takvih podataka. U protivnom, ispitanici na koje se ti podaci odnose izloženi su dodatnim rizicima zbog kojih mogu pretrpjeti štetne posljedice. Koji su to rizici i štetne posljedice, pitate se? Iz nedavnog slučaja afroamerikanca iz Michigana (SAD), iako slučaj nije u opsegu primjene GDPR-a, možemo zaključiti da ponekad posljedice mogu biti zastrašujuće.
Robert Julian-Borchak Williams uhićen je zbog sumnje na počinjenje kaznenog djela razbojstva u trgovini. Nadzornom kamerom koja je postavljena u prostoru trgovine snimljen je muškarac, afroamerikanac. Nakon što je snimka obrađena u policijskom sustavu za prepoznavanje lica, sustav je donio zaključak – to je Robert Williams. Ne bi u tome bilo nikakvih problema da je zaključak kojeg je donio sustav za prepoznavanje lica bio točan, ali nije. Nakon što je policija utvrdila da se radi o pogrešci sustava i da su uhitili pogrešnu osobu, Robert je pušten, ali šteta mu je već nepovratno nanesena – prilikom uhićenja koje se odvilo na njegovom kućnom prilazu osramoćen je ispred obitelji i javnosti, a cijelo vrijeme bio je u dodatnom strahu od događaja koji mogu uslijediti zbog optužbe za zločin kojeg nije počinio.
Problem je bio u sustavu. Današnji moderni sustavi za prepoznavanje lica sve su točniji, međutim greške se mogu dogoditi. Dosadašnji slučajevi jasno pokazuju da točnost takvih sustava značajno varira u ovisnosti o fizičkim karakteristikama osoba na snimci, i to konkretno o boji kože i o spolu. Najveća točnost sustava za prepoznavanje lica postiže se ako se obrađuje snimka bijelog muškarca, a daleko najveći broj pogrešaka događa se kad je subjekt tamnoputa žena.
U Europskoj uniji, voditelji obrade obvezni su, između ostalog, prije obrade biometrijskih podataka provesti procjenu učinka na zaštitu podataka (DPIA). Provodeći takvu procjenu, uzimaju se u obzir sve okolnosti obrade, pa tako i eventualna ograničenja sustava za prepoznavanje lica, što će u konačnici dovesti do zaključka o primjerenosti takvog sustava konkretnoj situaciji. Ako sustav ne može osigurati prihvatljivu razinu točnosti prilikom identifikacije pojedinca, takav sustav je neprimjeren i treba tražiti alternativno rješenje. Da su tako i u detroiškoj policiji razmišljali pri odabiru sustava za prepoznavanje lica, Robert Williams možda nikad ne bi bio uhićen, a policija ne bi gubila vrijeme i druge resurse na uhićenje nevine osobe.
U Republici Hrvatskoj, Agencija za zaštitu osobnih podataka (AZOP) objavila je popis postupaka obrade koji podliježu obveznoj provedbi procjene učinka na zaštitu podataka. Osim navedenih postupaka obrade, procjenu je obvezno provesti u svakom slučaju kad planirana obrada može dovesti do visokog rizika za prava i slobode ispitanika. Neispunjavanjem ovih obveza voditelj obrade izlaže se riziku i od kršenja drugih zahtjeva Uredbe, kao što su neprimjerene tehničke i organizacijske mjere zaštite podataka ili netočno informiranje ispitanika o okolnostima obrade. Za kršenje odredbi vezanih uz obvezu provođenja DPIA-e, voditelj obrade može biti kažnjen upravnom novčanom kaznom u iznosu do 10.000.000,00 eura ili do 2% ukupnog godišnjeg prometa na globalnoj razini, što god je veće.
? Wrongfully Accused by an Algorithm – The NY Times
Tvrtkama koje nisu sigurne kako provesti DPIA ili koje su njihove obveze prema GDPR-u, pomoći ćemo stručnim savjetom – javite nam se.
