Publikacje

Definicja „danych biometrycznych”, którą przyjęto w unijnym rozporządzeniu ws. sztucznej inteligencji (AI Act) wprowadza nowe rozumienie tego terminu, istotnie różniące się od tego, jak jest ono traktowane w RODO. Zmianę w tym zakresie uzasadnia się koniecznością dostosowania pojęcia „danych biometrycznych” do realiów technicznych sztucznej inteligencji oraz dążeniem do rozszerzenia ochrony osób fizycznych.

Nowa definicja „danych biometrycznych”

Na wstępie należy podkreślić, że z uwagi na „zazębiający się” zakres przedmiotowy obu aktów prawnych, ustawodawca unijny z góry zaznaczył, że AI Act (dalej: „AIA”) ma nie mieć wpływu na RODO (art. 2 ust. 7 AIA). Zmiana w kluczowej definicji wobec tego również nie powinna zmieniać stosowania, lub wpływać na interpretację RODO.

I rzeczywiście, wprowadzona przez AIA definicja „danych biometrycznych” stanowi rozszerzenie definicji z RODO:

Jak widać, na gruncie AIA aby uznać dane za biometryczne, nie muszą one pozwalać na jednoznaczną identyfikację osoby, której dotyczą – w przeciwieństwie do RODO.

Równocześnie jednak, jak podkreślono w motywie 14 AIA, „dane biometryczne” mogą umożliwiać uwierzytelnianie, identyfikację lub kategoryzację osób fizycznych oraz rozpoznawanie emocji osób fizycznych. Pojęcie „danych biometrycznych” stosowane w AIA należy interpretować w świetle ich definicji z RODO.

Dlaczego zdecydowano się na zmianę?

Zmiana definicji ma szczególne znaczenie w kontekście dotychczasowych wątpliwości związanych z obejmowaniem niektórych systemów sztucznej inteligencji przepisami RODO. Na gruncie tego Rozporządzenia dane osobowe stają się danymi biometrycznymi z chwilą przetworzenia ich przez system umożliwiający lub potwierdzający jednoznaczną identyfikację – co nie zawsze pokrywa się z rozumieniem danych biometrycznych z technicznego punktu widzenia. Na przykład, jeśli zdjęcie lub nagranie wideo z wizerunkiem osoby fizycznej nie zostało zeskanowane za pomocą systemu rozpoznawania twarzy lub innego systemu biometrycznego w celu „jednoznacznej identyfikacji”, nie jest uznawane za dane biometryczne (J. Czarnocki, Will new definitions od emotion recognition and biometric data hamper the objectives of the proposed AI Act?, 2021).

Początkowo nie planowano zmiany brzmienia definicji „danych biometrycznych” na potrzeby AIA. Stało się to jednak konieczne wraz z rozbudowywaniem tekstu i pojawianiem się w nim kolejnych pojęć nawiązujących do „danych biometrycznych”. W szczególności wiązało się to z kwalifikowaniem kolejnych systemów AI opierających się na pracy na danych biometrycznych jako praktyk zakazanych (rozdział II AIA).

Rozszerzenie ochrony

Obecnie w AIA pojawia się 6 definicji odwołujących się do danych biometrycznych (tj. oprócz przedmiotowej definicji). Są to: dane biometryczne, identyfikacja biometryczna, weryfikacja biometryczna, system kategoryzacji biometrycznej, system zdalnej identyfikacji biometrycznej, system zdalnej identyfikacji biometrycznej w czasie rzeczywistym oraz system zdalnej identyfikacji biometrycznej post factum. W trakcie prac nad ostatecznym tekstem AIA długo toczyły się dyskusje nad poprawną klasyfikacją systemów AI, które polegają na danych biometrycznych – przykładowo Komisja proponowała zaliczenie „kategoryzacji biometrycznej” do systemów wysokiego ryzyka, Parlament zaś utrzymywał, że powinno się jej zakazać; Rada Europejska z kolei przewidywała w tym zakresie jedynie wymogi przejrzystości.

Poniżej wszystkie pojęcia nawiązujące do danych biometrycznych, które pojawiają się w AIA, oraz ich klasyfikację.

W kontekście tak szerokiego katalogu opisywanych w AIA praktyk polegających na sztucznej inteligencji z wykorzystaniem danych biometrycznych staje się jasne, że definicja tych danych musiała przybrać ogólniejszą formę od tej, która znajduje się w RODO. Pozwala to na zapewnienie szerszej ochrony osób fizycznych w przypadku ewentualnych problemów z zakwalifikowaniem danej praktyki sztucznej inteligencji w ramach zakazu przetwarzania danych biometrycznych z art. 9 ust. 1 RODO; AIA nakłada też dalej idące obowiązki przejrzystości wymagane przez RODO w przypadku przetwarzania danych biometrycznych; możliwy jest też zbieg sankcji z art. 99 AIA i art. 83 RODO.