Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 01.04.2019
Naslov: Sistem za prepoznavo obrazov s sistemom inteligentne video analitike
Številka: 0712-1/2019/742
Vsebina: Moderne tehnologije, Video in avdio nadzor
Pravni akt: Mnenje

prejeli smo vaš dopis, v katerem nas prosite za mnenje glede sistema za prepoznavo obrazov. Kot ste pojasnili gre za sistem inteligentne video analitike, ki omogoča prepoznavo določenih karakteristik obraza posameznikov in sicer z določeno verjetnostjo ocene: spola, starosti, obraznih karakteristik (očala, lasje, nasmeh, make-up, brada/brki), občutkov, ne pa njegove identitete. Sistem naj bi bil namenjen spremljanju demografskih podatkov v trgovini, spremljanje spremembe čustev pred in po vstopu v trgovino ter prilagajanje reklamnega materiala.

 

Sistem naj bi deloval tako, da se s programsko opremo povežete na video tok, ki ga pošilja kamera in pridobivate posamezne slike. Slik naj ne bi shranjevali, temveč bi jih za namene procesiranja ohranjali le v pomnilniku računalnika. Posamezna slika se procesira z odprtokodno knjižnico objektov in z njo preverite, če se na njej nahaja kakšna oseba (oz. obraz), ne pa tudi kateri ali čigav obraz. Knjižnica pri temu uporablja algoritme in že obstoječe učne množice. Če ne sliki ničesar ne zaznate, se zavrže. Če na podlagi odprtokodne knjižnice dobite pozitiven rezultat (zaznan obraz), sliko pretvorite v zbirko bajtov (ang. »Byte array«) oz. podatkovni niz, ki ga pošljete na oblačno storitev za prepoznavo lastnosti obraza. Zajeti podatki naj bi se hranili 24 ur. Ponudnik oblačne storitev torej ne dobi samih slik temveč podatkovni niz. Ker po tem koraku slika več ne obstaja (ne kot slika, ne kot zbirka bajtov), naj je ne bi mogli več rekonstruirati, vendar j pa bi vsak zaznan obraz dobil svoj naključni »faceID«. Iz oblačne storitve nazaj prejmete opis zgoraj navedenih karakteristik obrazov, ki se nahajajo na sliki. Prejeti »faceID« potem primerjate z zadnjimi 1000 obrazi za preverjanje podobnosti, kar lahko izvedete v času roka hrambe, torej v okviru 24ur. Oblačna storitev primerja dva »faceID«-ja na podlagi njunih metapodatkov. Odgovor dobite v obliki JSON, kjer je v obliki zaupanja podano, kakšna je podobnost med dvema »faceID«. Na podlagi določene meje zaupanja, ki jo določite sami), se lahko odločite, če potem ta »faceID«-ja pripadata isti osebi. Ker se zaupanje izračunava na podlagi algoritmov, ocen in metapodatkov, ni mogoče zagotovo trditi, da se je na pred kamero nahajala ista oseba.

 

Priložili ste kratek opis delovanja sistema in izvedeno oceno zakonitega interesa (angl. legitimate interest assessment).

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju na podlagi 58. člena Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba), 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07, uradno prečiščeno besedilo, v nadaljevanju ZVOP-1) ter 2. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

 

IP uvodoma poudarja, da gre pri uvajanju inteligentne videoanalitike za novejše tehnološke sisteme, za katere Splošna uredba ali ZVOP-1 specifično ne določata pogojev, kot npr. za videonadzor, ki je izrecno urejen v ZVOP-1. Glede na nove tehnološke zmožnosti gre vsekakor za obdelave osebnih podatkov, pred katerimi priporočamo izvedbo ocene učinka na varstvo podatkov po členu 35 Splošne uredbe (angl. data protection impact assessment) oz. je lahko ocena učinka celo obvezna (glej smernice: https://www.ip-rs.si/fileadmin/user_upload/Pdf/Ocene_ucinkov/Smernice_o_ocenah_ucinka__DPIA__julij2018.pdf).

 

Dalje pojasnjujemo, da je IP na temo inteligentnega videonadzora (sicer še pred sprejemom Splošne uredbe) izdal smernice na to temo, ki so dostopne na:

 

https://www.ip-rs.si/fileadmin/user_upload/Pdf/smernice/Smernice_-_inteligentna_video_analitika.pdf

 

V njih med drugim pojasnjujemo implikacije, ki jih imajo lahko tovrstni sistemi, odvisno od namenov uporabe in omogočenih funkcionalnosti, na varstvo osebnih podatkov.

 

Upoštevaje, da gre za obdelavo osebnih podatkov posameznikov, saj se njihovo podobo avtomatizirano obdeluje, tudi če ne gre za namen identifikacije posameznika, mora biti za takšno obdelavo osebnih podatkov podana pravna podlaga. Kot tudi sami ocenjujete je ob odsotnosti učinkovite možnosti pridobivanja privolitev posameznika in specifične zakonske ureditve tega področja možno uporabiti pravno podlago zakonitih interesov (točka 6.1(f)), kjer pa je predhodno absolutno priporočljivo opraviti predhodno oceno zakonitega interesa, v kateri pošteno in celovito ocenimo zakonitost interesa, negativne in škodljive vplive na pravice in svoboščine posameznike ter možne varovalke, s katerimi lahko vplivamo na razmerjem med zakonitimi interesi in vplivi na posameznika.

 

Glede opravljene ocene zakonitih interesov v nadaljevanju opozarjamo na naslednje točke, kjer menimo, da bi morale biti opravljene določene izboljšave oziroma popravki. Pomembno je namreč poudariti, da tako kot ocena učinkov tudi ocena zakonitega interesa ne sme izhajati pretežno iz predvidenih koristi za upravljavca, temveč mora predvsem pošteno in celovito oceniti dejanski vpliv na posameznika in korektno opisati možne varovalke. Namen ocen učinka in ocen zakonitih interesov ni upravičiti določen projekt na način, da se morebitnih tveganj in »negativnih« vidikov ne izpostavlja ali podcenjuje oziroma pretirano poudarja določene varovalke1, temveč ravno obratno – če jih dovolj korektno in celovito ocenimo, potem tudi sama ocena zakonitih interesov lahko zdrži naknadno presojo.

 

Glede opravljene ocene zakonitih interesov - tudi v luči gradnje znanja glede izvajanja ocen zakonitih interesov pri drugih upravljavcih - opozarjamo na naslednje točke:

 

  • Nameni obdelave morajo biti dovolj konkretno opredeljeni in sicer tako, da je moč razbrati, kako bo obdelava osebnih podatkov prispevala k uresničitvi namena; npr. namen »upravljavec bo lahko prilagodil ponudbo izdelkov« po naši oceni ni dovolj natančno opredeljen. Kot primer bi lahko navedli, da bo upravljavec na podlagi ocenjene starosti in spola lahko prilagodil ponudbo svojih izdelkov/storitev npr. na digitalnih oglasnih tablah glede na ocenjeno demografsko značilnost (npr. izdelki, ki so zanimivi za moško populacijo med 20 in 30 let). Prav tako recimo iz opisa namenov ni jasno, s kakšnim namenom boste ugotavljali oz. ocenjeval čustva vstopajočih in spremembe čustev ter kako so to podatki relevantni (in tudi kako zanesljivi!) za kakšen namen. Samo zato, ker določena programska oprema to omogoča še ne pomeni, da je uporaba vseh funkcionalnosti dejansko tudi v skladu z nameni upravljavca.

  • Glede drugih možnih načinov doseganja ciljev navajate izpolnjevanje anket, kar pa naj bi vodilo v netočne odgovore bodisi zaradi anketiranca bodisi zaradi tistega, ki postavlja vprašanja. Ne razumemo, kako bi lahko bili odgovori v anketah netočni oziroma kako so lahko ankete med posamezniki manj točne kot sistem, ki recimo ugotavlja občutek posameznika na podlagi njegove računalniško obdelane podobe. Takšnih argumentov ne moremo sprejeti, povsem se pa strinjamo, da bi anketiranje lahko predstavljalo večje stroške za dosego istih ciljev, zlasti če bi želeli zajeti enako velik vzorec ljudi.

  • V točki, ali lahko posameznik pričakuje, da poteka obdelava, navajate, da so vsi obiskovalci maloprodajnih trgovin pred in med obiskom obveščeni, da je prostor pod videonadzorom. Poudarite sicer, da gre tu za ločeno snemanje in drug namen, ki pa bo izpolnjen na anonimiziranih podatkih2 (torej ne na osebnih podatkih). Pošteno izvedena ocena zakonitega interesa bi glede tega morala ugotoviti da ne, da posameznik ne pričakuje, da ko vstopa v trgovino, da kamere ugotavljajo njegov spol in starost, njegove obrazne karakteristike in celo poskušajo ugotoviti njegove občutke. Posamezniki tega danes enostavno ne pričakujemo, zlasti pa ne, če o tem nismo ustrezno in pravočasno obveščeni. Ocena zakonitega interesa mora biti v tej, kakor tudi v vseh ostalih točkah, kar se da realna in poštena.

  • Glede verjetnosti, da bo obdelava negativno vplivala na pravice posameznika ponovno navajate, da bo dejanska obdelava podatkov (razen zajema parametrov) temeljila na anonimiziranih podatkih, in da zato obdelava podatkov ne bo negativno vplivala na pravice posameznika. Podobno kot zgoraj menimo, da morebitnih negativnih vidikov, predvsem pa posledic in implikacij obdelave ne gre za zanemariti, predvsem pa je v konkretnem primeru treba upoštevati ne le faze zajema podatkov, temveč tudi sprejete odločitve na podlagi analiziranih podatkov, te so namreč lahko ključne za vpliv na posameznika (npr. kakšen oglas se mu posreduje). Posamezniki lahko čutijo posledice tudi, če jih sistem ne želi ali ne bo direktno identificiral in relativno lahko se da najti povsem realne primere in situacije, ko bo lahko posameznik prizadet ali občutil določen vpliv obdelave podatkov v smislu vsiljivosti ali neprimernosti – menimo, da so vse naštete situacije lahko povsem realne - npr.:

    • Sistem napačno prepozna spol osebe in mu na tej podlagi prikaže napačno reklamo. Takšna oseba, zlasti v družbi drugih ali če gre za osebo določenih spolnih prepričanj, lahko vsekakor občuti neprimernost, vsiljivost ali celo bolj intenziven poseg v svoje pravice. Podobno bi lahko bilo v primeru ponujanja izdelkov osebam, ki so izgubile lase zaradi zdravstvenega stanja ipd. Na videz nenamerne in nepremišljene odločitve imajo lahko za nekatere posameznike lahko zelo občutne posledice, zato tega dela ocene zakonitih interesov ne gre za podcenjevati.

    • Sistem napačno prepozna mladoletno osebo za polnoletno osebo in mu ponudi izdelek, ki se ne sme prodajati oziroma oglaševati mladoletnim osebam (npr. alkohol ali tobačne izdelke).

    • Sistem netočno prepozna čustva posameznika in glede tega sprejme neustrezno odločitev (npr. da se posameznika ob spremembi iz veselega obraza ob prihodu v trgovino v žalostnega ob odhodu iz trgovine posebej nagovori). Navidez povsem benigne in dobronamerne odločitve imajo lahko na posameznika velik negativen vpliv in menimo, da bi zlasti pri (računalniškem) ocenjevanju čustev in sprejemanju odločitev morali biti še posebej pozorni.

  • Glede na navedeno menimo, da bi morali v oceni zakoniti interesov vnaprej opredeliti ali vsaj oceniti, kakšne vrste odločitve boste sprejemali na podlagi analiziranih podatkov (npr. da določeni tipi oglasov ali vsebine ne bodo prikazane, da bo prilagojena stopnja zaupanja določenim podatkov ipd.) oziroma nekateri podatki celo izločeni iz analiz; da torej fokus ocene niso predvsem samo faze zbiranja in analize podatkov kot trenutno.

  • V točki, ali lahko posameznik, katerega osebni podatki se obdelujejo, nadzoruje dejavnosti obdelave ali jim lahko z lahkoto nasprotuje, navajate, da so osebni podatki takoj po anonimizaciji in določitvi parametrov trajno izbrisani in upravljalec preneha z obdelavo. Pošten odgovor v tej točki bi ponovno bil, da ne morejo, zlasti če niso ustrezno obveščeni o obdelavi osebnih podatkov in o svojih pravicah.

  • Glede samega obvestila opozarjamo, da sicer priloženo obvestilo jasno in razumljivo pojasni način delovanja sistema, da pa bi moralo vsebovati tudi informacije o pravicah posameznika in vse ostale zahtevane elemente glede na določbe prvega in drugega odstavka člena 13 Splošne uredbe.

  • Glede zaščitnih ukrepov ste navedli tri kratke alineje, med katerimi po naši oceni manjka predvsem ustrezno informiranje posameznikov glede na zgoraj navedeno. Brez ustreznih informacij bi dejansko lahko prišlo do več primerov nerazumevanja ljudi in menimo, da je zlasti pri uvajanju sodobnih primerov inteligentne video analitike transparentnost do posameznikov izjemnega pomena. Opozarjamo na primere iz smernic o inteligentni video analitiki, na podlagi katerih tudi branžna združenja ocenjujejo, da lahko neustrezna transparentnost uvajanja tovrstnih sistemov v splošnih javnosti povzroči širok odpor in ne sprejemanje (primer v smernicah se nanaša na prikazovalnik oglasov, ki je na digitalnih panojih ob cestah prikazoval oglase za - konkretnemu vozilu primerna - motorna olja na podlagi branja registrske tablice mimovozečih vozil; sistem je zaradi netrasparantnosti doživel buren negativen odziv v javnosti in je bil umaknjen iz delovanja že po nekaj dneh).

 

Menimo, da bi bilo primerno, da oceno zakonitega interesa dopolnite glede na naša zgoraj podana priporočila, pri čemer vam ponovnih oziroma dodatnih mnenje na isto temo ne moremo podajati.

 

Ob pripravi mnenje pa želimo opozoriti še na en potencialno problematičen vidik konkretne implementacije in sicer na možnost določljivosti posameznika. Kot ste pojasnili dobi vsak zaznan obraz svoj enolični idenfitikator, t.i.«faceID«, v roku 24 ur pa se hranijo podatki, ki sicer naj ne bi omogočali rekonstrukcije obraza, omogočajo pa ugotovitev, ali se je določena oseba že pojavila med zadnjimi 1000 osebami. Vsaj teoretično, če prav razumemo, bi tako npr. lahko ugotovili, kako pogosto se je neka oseba znašla v dometu tega sistema in ni povsem jasno, kako dolgo se hrani posamezen »faceID« (24 ur ali se hrani »faceID« za zadnjih 1000 oseb). Iz priloženega gradiva ni razvidno, kakšen je namen tovrstnega primerjanja, zato tudi težko ocenimo, kakšna je možnost določljivosti posameznika. Namen tovrstnega preverjanja bi moral biti opisan in ovrednoten v oceni zakonitih interesov; v primeru, da se izkaže, da bodisi ni posebnih namenov tovrstnega primerjanja oziroma, da je stopnja tveganja previsoka, je na mestu razmislek, ali je uporaba te funkcionalnosti dejansko potrebna.

 

Zaključno poudarjamo, da IP v okviru podaje nezavezujočega mnenja ne more potrditi ali zanikati zakonitosti ali certificirati uporabe opisanega sistema, saj lahko to ugotovi le v okviru uvedenega inšpekcijskega postopka. Odločitev o obdelavi osebnih podatkov je na upravljavcu, da se z ustreznim informiranjem in prilagoditvami tako tehnične kot dokumentacijske narave, predvsem pa s pravočasnimi in celovitimi ocenami učinka in zakonitih interesov (ko obdelava temelji na tej pravni podlagi), odloči za konkretno obdelavo osebnih podatkov.

 

Lep pozdrav,

 

 

Mojca Prelesnik, univ.dipl.prav.,

informacijska pooblaščenka

 

 

Pripravil:

mag. Andrej Tomšič,
namestnik informacijske pooblaščenke

­


1Na to npr. nakazujejo navedbe v predloženi oceni zakonitega interesa, da bodo podatki anonimizirani in je to v besedilu navedeno kar 18-krat.

2 Glej prejšnjo sprotno opombo.