מצלמות זיהוי פנים ברשתות מזון וחנויות מסחר
אנו עדים לאחרונה לרצון הגובר של רשתות המזון וחנויות לעשות שימוש במצלמות זיהוי פנים על מנת לשמור ולהגן על הלקוחות במסגרת המאבק בנגיף הקורונה. הרגולטור ההולנדי מבהיר כי לפי הוראות תקנות הגנת המידע (GDPR) ארגונים יכולים לעשות שימוש בטכנולוגיה זו רק במקרים חריגים.
טכנולוגית זיהוי הפנים מבוססת על שימוש במצלמות במעגל סגור ועיבוד הצילומים באמצעות תוכנה לזיהוי פנים. התוכנה מאפשרת את השוואת הנתונים הביומטריים שנקלטים בצילום פניו של אדם לבסיס נתונים של תמונות בו כל תמונה מתויגת. לנוכח זאת, שימוש במצלמות בשילוב עם יכולת זיהוי פנים נחשב לעיבוד מידע ביומטרי.
תקנות הגנת המידע ככלל אוסרות על ארגון לעבד מידע ביומטרי באמצעים טכנולוגיים ככל שהמידע נוגע לתכונות פיזיות, פסיכולוגיות או התנהגותיות של אדם כאשר העיבוד נועד לצורך זיהוי ייחודי של אדם. עיבוד כזה מותר אם האדם נתן הסכמה מפורשת או אם קיים אינטרס ציבורי חיוני.
פאנל הרגולטורים האירופי להגנת מידע קבע לעומת זאת כי חנות יכולה לעשות שימוש במצלמות המזהות תכונות פיזיות של לקוחות כמו גיל ומין למטרות פרסום ובלבד שהעיבוד לא יוצר תבנית ביומטרית המאפשרת זיהוי של האדם. הפאנל גם קובע כי צילום מידע רפואי או פוליטי באופן אגבי כמו אדם הנדרש לכיסא גלגלים או משתתפים בהפגנה לא יחשב לעיבוד מידע רפואי או מידע על דעה פוליטית אלא אם מטרת הצילום הייתה להסיק קטגוריה מיוחדת זו של מידע. חנות המעוניינת להבחין בין לקוחות כדי לתת שירות מיוחד ללקוחות חשובים חייבת לקבל מראש את הסכמת כל הלקוחות לשימוש במצלמות זיהוי פנים אם לצורך כך עליה לזהות כל לקוח בעת כניסתו לחנות.
כניסה של אדם לסניף של רשת מזון איננה יכולה להיחשב הסכמה מפורשת לזיהוי הפנים שלו, וקשה עד בלתי אפשרי לבקש מראש הסכמה מפורשת לכך. חוק הגנת המידע ההולנדי קובע כי ניתן לעבד מידע ביומטרי אם זה חיוני למטרות אבטחה או אימות זיהוי. הרגולטור ההולנדי מדגיש כי עיבוד מידע ביומטרי לצורכי אבטחה במתקן גרעיני יכול להיחשב חיוני ומידתי. אולם בסופרמרקט לדעת הרגולטור במקרים רבים ניתן להשיג את אותה מטרה גם באמצעות שימוש במצלמות אבטחה רגילות ללא תוכנה לזיהוי פנים.
בבריטניה, חוק הגנת המידע קובע 23 מטרות שיחשבו אינטרס ציבורי חיוני. מניעה וגילוי פשיעה או הונאה והגנת הציבור נחשבים לאינטרס ציבורי חיוני המאפשר עיבוד מידע ביומטרי גם ללא הסכמה מפורשת. בדנמרק לעומת זאת, חוק הגנת המידע קובע כי ככל שמדובר בחברה פרטית הרשות להגנת המידע מוסמכת לבחון ולקבוע האם אכן מתקיים אינטרס ציבורי חיוני. כך לדוגמה התירה רשות הגנת המידע הדנית בפעם הראשונה לחברה פרטית לעשות שימוש במצלמות זיהוי פנים על מנת לאתר ולמנוע מאוהדים שנאסר עליהם להשתתף במשחקים, מלהיכנס לאצטדיון. לדעת הרשות הדנית מטרה זו נחשבת לאינטרס ציבורי חיוני.
בנוסף על החריג של אינטרס ציבורי חיוני המתיר לעבד מידע ביומטרי יש לקבוע האם מתקיים בסיס חוקי לעיבוד המידע. חברה פרטית יכולה לעשות שימוש בבסיס חוקי של אינטרס הלגיטימי בעיבוד מידע במצלמות זיהוי פנים. אינטרס לגיטימי חייב להיות חוקי ומידתי למטרת השימוש וכל זאת כאשר לא ניתן לעשות שימוש באמצעי שפגיעתו פחותה. כמו כן נדרש לידע את הלקוחות ולהקטין את הפגיעה על ידי מזעור המידע והגבלת השימוש.
בישראל אין איסור בחוק על שימוש במצלמות זיהוי פנים. באוקטובר 2012 פרסם רשם מאגרי המידע הנחיה מכח חוק הגנת הפרטיות על שימוש במצלמות אבטחה ומעקב ובמאגרי התמונות הנקלטות בהן. הרשם קובע כי עקרון בסיסי בחוק הגנת הפרטיות הוא שאין פוגעים בפרטיות של אדם ללא הסכמתו. בשל האיסור לפגוע בפרטיותו של אדם ללא הסכמתו, כאשר מוצבת מצלמת מעקב עם או בלי יכולת זיהוי פנים יש ליידע על כך באופן ברור על מנת לאפשר לאדם להימנע מהצילום, ובמקביל לייחס לאנשים המצולמים הסכמה משתמעת לאיסוף המידע על אודותם ולשימוש בו. הדרישות באשר למקום פרסום ההודעה לציבור, תוכנה של ההודעה ואופן הפרסום נגזרים מהגדרת המונח ׳הסכמה׳ בחוק הקובע שההסכמה תהיה מדעת.
הרשם קובע כי ארגון המבקש לעשות שימוש במצלמות זיהוי פנים נדרש לבצע תסקיר השפעה על פרטיות כדי לקבוע אם השימוש המבוקש מוצדק ומידתי. ככל שהתועלת מהשימוש בטכנולוגיה נמוכה יותר וישנן חלופות זמינות שפגיעתן פחותה, השימוש עשוי להיחשב ללא מדתי. על הארגון לבצע הנדסת פרטיות ביחס לתכונות למיקום ולהיקף הכיסוי של המצלמות, ולערוך וליישם מדיניות המפרטת את אופן הפעלת המצלמות. יש לציין שאיזון האינטרסים בתקופת מגפה עשוי להיות שונה למדי מאיזון האינטרסים כאשר נחזור לשגרה, אך ספק אם נוכל או נרצה לוותר על האמצעים ההופכים את חיינו לנוחים יותר אך גם פגיעים יותר.