Η εγκατάσταση και η ετοιμότητα προς λειτουργία κλειστών κυκλωμάτων βιντεοεπιτήρησης (CCTV) σε δημόσιους χώρους συνιστά από μόνη της έναν άμεσο κίνδυνο για τα προσωπικά δεδομένα και τις ατομικές ελευθερίες των πολιτών που εισέρχονται στο πεδίο λήψης – εμβέλειας του συστήματος.
Η εγκατάσταση και η ετοιμότητα προς λειτουργία κλειστών κυκλωμάτων βιντεοεπιτήρησης (CCTV) σε δημόσιους χώρους συνιστά από μόνη της έναν άμεσο κίνδυνο για τα προσωπικά δεδομένα και τις ατομικές ελευθερίες των πολιτών που εισέρχονται στο πεδίο λήψης – εμβέλειας του συστήματος. Εάν η τεχνική αυτή δυνατότητα συνδυαστεί επιπλέον με τη χρήση λογισμικών τεχνητής νοημοσύνης και συστημάτων αναγνώρισης- ταυτοποίησης προσώπου, τότε η επέμβαση στα ατομικά δικαιώματα καθίσταται βαθύτερη και άρα απαιτείται η λήψη διασφαλιστικών μέτρων τόσο για το ίδιο το γεγονός της κατασκευής και λειτουργίας των συστημάτων, όσο και για την πλήρωση των ουσιαστικών και διαδικαστικών εγγυήσεων ενεργοποίησης τους και εν συνεχεία επεξεργασίας προσωπικών δεδομένων.
Η τεχνολογία αναγνώρισης προσώπου (facial recognition) που αποσκοπεί στην ταυτοποίηση φυσικών προσώπων δια της επεξεργασίας βιομετρικών δεδομένων βασίζεται σε συστήματα, εφαρμογές και λογισμικά τεχνητής νοημοσύνης που εκπαιδεύονται με βάση συγκεκριμένα πρότυπα να παρέχουν κατ’ αρχήν τις σχετικές πληροφορίες ταυτοποίησης. Τα συστήματα αυτά δύνανται ανάλογα με το λογισμικό τους να εξάγουν σε πραγματικό χρόνο επιπλέον αυτοματοποιημένα συμπεράσματα με βάση τη στάση του σώματος, τις κινήσεις, τις μικροεκφράσεις του προσώπου, ακόμη και την χροιά ή τον τόνο της φωνής ενός φυσικού προσώπου ανάλογα με τον επιδιωκόμενο σκοπό της επεξεργασίας π.χ. σε σχέση με τις πιθανότητές να εγκληματήσει ένα άτομο που στέκεται έξω από μια ΤράπεζαΤα σχετικά λογισμικά βαρύνονται σε αρκετές περιπτώσεις με εσφαλμένα αποτελέσματα ταυτοποίησης προσώπων αλλά και συμπερασμάτων πρόβλεψης συμπεριφορών συνεπεία της επεξεργασίας/τροφοδοσίας με χαμηλής ποιότητάς δεδομένων αλλά και του τρόπου εκπαίδευσης των αλγορίθμων, παραβιάζοντας έτσι τελικά μια εκ των βασικών αρχών επεξεργασίας των προσωπικών δεδομένων και δη εκείνης της ακρίβειας, επιπλέον δε επέρχονται διακρίσεις και προκαταλήψεις, ιδίως σε σχέση με το χρώμα και την φυλετική ή εθνοτική καταγωγή. Οι Αρχές Προστασίας Δεδομένων (ΑΠΔ) της Γαλλίας και της Σουηδίας απαγόρευσαν τη λειτουργία συστημάτων αναγνώρισης προσώπων σε σχολεία, η ΑΠΔ του Βελγίου σταμάτησε την εγκατάσταση συστήματος στο αεροδρόμιο των Βρυξελλών, ενώ τα διοικητικά δικαστήρια του ΗΒ. και της Γαλλίας εξέδωσαν πρόσφατα σχετικές με το θέμα αποφάσεις.
2. Με το ΠΔ. υπ’ αρ. 75/2020 (ΦΕΚ Α’173/10.9.2020) «Χρήση συστημάτων επιτήρησης με λήψη ή καταγραφή ήχου ή εικόνας σε δημόσιους χώρους» κατ’ εφαρμογή της εξουσιοδοτικής διάταξης του άρθρου 14 παρ. 4 ν. 3917/2011 ορίσθηκαν οι ειδικότεροι κανόνες για την εγκατάσταση και λειτουργία, σε δημόσιους χώρους, συστημάτων λήψης ή καταγραφής ήχου ή εικόνας, στο μέτρο που διενεργείται επεξεργασία προσωπικών δεδομένων κατά τρόπο ώστε να επιτυγχάνονται αποτελεσματικά οι σκοποί του νόμου, με ταυτόχρονη διασφάλιση των δικαιωμάτων των προσώπων που θίγονται από τη χρήση των συστημάτων αυτών. Στο άρθρο 2 του ΠΔ. ορίζεται ότι οι εφαρμοζόμενες διατάξεις που αφορούν τα εν λόγω συστήματα, στα οποία ανήκουν ιδίως τα κλειστά κυκλώματα τηλεόρασης, περιλαμβάνονται όσα διαθέτουν «πρόσθετο εξοπλισμό για τη μετάδοση, αποθήκευση και κάθε είδους περαιτέρω επεξεργασία της εικόνας και του ήχου». Από την διατύπωση αυτή δεν προκύπτει εναργώς εάν στην τελευταία έννοια είναι δυνατό να περιληφθούν και συστήματα επεξεργασίας βιομετρικών δεδομένων για την αναγνώριση και ταυτοποίηση φυσικών προσώπων, όπως επεσήμανε και η Αρχή Προστασίας Δεδομένων (ΑΠΔ) με την υπ’ αρ. 3/2020 Γνωμοδότηση της, στην οποία θα γίνει αναλυτικότερη αναφορά στο τέλος της παρούσας.
I. Η θέση του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων (ΕΣΠΔ) καθώς και του Ευρωπαϊου Επόπτη Προστασίας Δεδομένων (ΕΕΠΔ)Το ΕΣΠΔ, ήδη με τις υπ’ αρ. 3/2019 Κατευθυντήριες Γραμμές σχετικά με την επεξεργασία δεδομένων προσωπικού χαρακτήρα μέσω βιντεοσυσκευών έθεσε τις γενικές παραμέτρους για τη σύννομη συλλογή και επεξεργασία βιομετρικών δεδομένων, ήτοι προσωπικών δεδομένων τα οποία προκύπτουν από ειδική τεχνική επεξεργασία συνδεόμενη με φυσικά, βιολογικά ή συμπεριφορικά χαρακτηριστικά φυσικού προσώπου και τα οποία επιτρέπουν ή επιβεβαιώνουν την αδιαμφισβήτητη ταυτοποίηση του, όπως εικόνες προσώπου (βλ. αρ. 4 περ. 14 ΓΚΠΔ και αρ. 3 περ. 13 οδηγίας 680/16), διευκρινίζοντας ορθά ότι η απλή συλλογή υλικού βιντεοσκόπησης που απεικονίζει πρόσωπα δεν μπορεί να θεωρηθεί ότι αποτελεί καθεαυτό βιομετρικό δεδομένοΠροσφάτως, το ΕΣΠΔ εξέφρασε την ανησυχία του για τη χρήση τεχνολογιών αναγνώρισης προσώπου και την αμφιβολία του για τη νομιμότητά της χρήσης των σχετικών υπηρεσιών που παρέχονται από εταιρία που συλλέγει φωτογραφίες από κοινωνικά δίκτυα και φέρεται να τα διαθέτει για σκοπούς δίωξης τους εγκλήματος. Αντίστοιχες ανησυχίες εξέφρασε κατά το παρελθόν και ο ΕΕΠΔ για την χρήση τεχνολογιών αναγνώρισης προσώπου, ενώ πλέον πρόσφατα, μετά την ανακοίνωση της ΕΕ. για το σχέδιο Κανονισμού Τεχνητής Νοημοσύνης, εξέφρασε ρητά την αντίθεση του στην χρήση συστημάτων βιομετρικής αναγνώρισης σε δημόσιους χώρους.
III. Η πρόταση Κανονισμού ΕΕ. για την Τεχνητή ΝοημοσύνηA. Εισαγωγή1. Με το προτεινόμενο σχέδιο Κανονισμού Τεχνητής Νοημοσύνης (Artificial Intelligence Act) η Ευρωπαϊκή Επιτροπή προτείνει την δημιουργία σχετικού νομικού πλαισίου ακολουθώντας μια προσέγγιση με βάση τον κίνδυνο (risk based approach) κατηγοριοποιώντας τα συστήματα ΤΝ ανάλογα με το επίπεδο κινδύνου που ενδέχεται να προκαλέσουν στην ασφάλεια και τα θεμελιώδη ατομικά δικαιώματα των πολιτών και των επιχειρήσεων διακρίνοντας μεταξύ συστημάτων i. «μη αποδεκτού κινδύνου», που απαγορεύονται πλήρως, ii. «υψηλού κινδύνου» των οποίων η κατασκευή και χρήση υπόκειται σε αυστηρές υποχρεώσεις προτού επιτραπεί η διάθεση και η κυκλοφορία τους στην αγορά, iii. «περιορισμένου κινδύνου», των οποίων η χρήση επιτρέπεται υπό συγκεκριμένες υποχρεώσεις διαφάνειας και iv. «ελαχίστου κινδύνου», των οποίων η χρήση επιτρέπεται χωρίς την επιβολή υποχρεώσεων με βάση τη πρόταση σχεδίου Κανονισμού ΤΝ.
2. Στην περίπτωση των συστημάτων ΤΝ υψηλού κινδύνου, προ της κυκλοφορίας τους στην αγορά και χρήσης τους, θα πρέπει να έχει προηγηθεί αξιολόγηση της συμμόρφωσης προς τις απαιτήσεις του προτεινόμενου Κανονισμού ΤΝ που περιλαμβάνουν: εγκατάσταση και λειτουργία συστήματος εποπτείας και διαχείρισης κινδύνου καθ’ όλο το κύκλο ζωής του ελεγχόμενου συστήματος ΤΝ, τήρηση κανόνων για τη χρήση δεδομένων αναγκαίων για την εκπαίδευση των αλγοριθμικών συστημάτων, τεχνική τεκμηρίωση του συστήματος ΤΝ προ της θέσης σε κυκλοφορία στην αγορά, σχεδιασμό και ανάπτυξη του συστήματος ΤΝ κατά τρόπο ώστε να διατηρεί αυτόματες καταγραφές συμβάντων (logs) με περαιτέρω δυνατότητα αναγνώρισης προτύπων ή κοινά αποδεκτών χαρακτηριστικών που θα καθιστούν εφικτή την ιχνηλάτηση του συστήματος, υποχρεώσεις διαφάνειας ώστε οι χρήστες των συστημάτων ΤΝ να μπορούν να ερμηνεύουν το εξαγόμενο αποτέλεσμα του συστήματος και να το χρησιμοποιούν συναφώς, υποχρέωση ανθρώπινης επίβλεψης κατά τη λειτουργία του συστήματος και σχεδιασμός του συστήματος ώστε να επιτυγχάνεται το κατάλληλο επίπεδο ακρίβειας, διαθεσιμότητας και κυβερνοασφάλειας (άρθρα 8-15 σχ Καν ΤΝ και περαιτέρω εξειδίκευση τους στα άρθρα 16-29 σχ Καν ΤΝ)Ο έλεγχος της πλήρωσης των απαιτούμενων υποχρεώσεων ανατίθεται σε ειδικές ελεγκτικές αρχές οι οποίες θα προβαίνουν στην σχετική επιβεβαίωση και η οποία μπορεί να συνίσταται και στην έκδοση πιστοποιητικών συμβατότητας (αρ. 44 σχ. Καν. ΤΝ) ή δήλωση συμμόρφωσης της ΕΕ με σήμανση CE (αρ. 48-49 σχ. Καν. ΤΝ). Προ της κυκλοφορίας στην αγορά, το σύστημα ΤΝ υψηλού κινδύνου, εφόσον έχει διέλθει επιτυχώς των προηγούμενων ελέγχων, καταχωρείται σε ειδική βάση δεδομένων της ΕΕ. (αρ. 51 και 60 σχ Καν ΤΝ). Μετά την κυκλοφορία του συστήματος ΤΝ υψηλού κινδύνου στην αγορά, το σχ Καν ΤΝ περιλαμβάνει ένα δεύτερο στάδιο υποχρεώσεων συμμόρφωσης που περιλαμβάνουν την εγκατάσταση και λειτουργία συστήματος παρακολούθησης του συστήματος ΤΝ, την υποχρεωτική υποβολή αναφοράς σοβαρού συμβάντος ή δυσλειτουργίας τους συστήματος ΤΝ που οδηγεί σε παραβίαση υποχρεώσεων του δικαίου της ΕΕ. για την προστασία ατομικών και θεμελιωδών δικαιωμάτων.
Β. Η περίπτωση των Συστημάτων Απομακρυσμένης Βιομετρικής Αναγνώρισης και Ταυτοποίησης φυσικών προσώπων για σκοπούς δίωξης του εγκλήματος1. Σύμφωνα με το σχ. Καν. ΤΝ ως σύστημα απομακρυσμένης βιομετρικής αναγνώρισης/ταυτοποίησης (Remote Biometric Identification-RBI) ορίζεται το σύστημα ΤΝ που αποσκοπεί στην εξ’ αποστάσεως αναγνώριση φυσικών προσώπων δια της σύγκρισης των βιομετρικών δεδομένων ενός προσώπου σε σχέση προς τα βιομετρικά δεδομένα τα οποία περιλαμβάνονται σε μια βάση δεδομένων αναφοράς, χωρίς να γνωρίζει εκ προοιμίου ο χειριστής του συστήματος (π.χ. η Αστυνομία) εάν το υπό διερεύνηση πρόσωπο θα είναι παρόν και δύναται να ταυτοποιηθεί κατά τη λειτουργία του συστήματος (αρ. 3 περ. 36). Περαιτέρω, το σχ. Καν. ΤΝ διακρίνει μεταξύ συστήματος απομακρυσμένης βιομετρικής αναγνώρισης/ταυτοποίησης που λειτουργεί σε πραγματικό χρόνο (real-time RBI) και προβαίνει σε άμεση ή με ελάχιστη καθυστέρηση, ταυτοποίηση (αρ. 3 περ. 37) και συστήματος που λειτουργεί ετεροχρονισμένα (post RBI) και προβαίνει σε ταυτοποίηση όχι σε πραγματικό χρόνο αλλά μεταγενέστερα (αρ. 3 περ. 38). Τέλος, το σχ. Καν. ΤΝ διακρίνει μεταξύ συστημάτων απομακρυσμένης βιομετρικής αναγνώρισης/ταυτοποίησης σε δημόσια προσβάσιμους χώρους (αρ. 3 περ. 39) και μη.2. Από τις διατάξεις του άρθρου 6 σε συνδυασμό με το Παράρτημα ΙΙΙ περ. 1 α’ και περ. 6’ του σχ Κ ΤΝ προκύπτει ότι τα συστήματα απομακρυσμένης βιομετρικής αναγνώρισης/ταυτοποίησης (και κατηγοριοποίησης) που λειτουργούν είτε σε πραγματικό χρόνο (real-time RBI) είτε ετεροχρονισμένα (post RBI) εμπίπτουν στην κατηγορία συστημάτων ΤΝ υψηλού κινδύνου, είτε χρησιμοποιούνται από ιδιώτες, είτε από αρμόδιες δημόσιες αρχές για τους σκοπούς της πρόληψης, διερεύνησης, ανίχνευσης και δίωξης ποινικών αδικημάτων (εφεξής «σκοπούς επιβολής του νόμου»).
Όταν όμως τα ανωτέρω συστήματα ΤΝ λειτουργούν σε πραγματικό χρόνο (real time RBI) σε δημόσια προσβάσιμους χώρους για σκοπούς επιβολής του νόμου, τότε εμπίπτουν κατά το άρθρο 5 παρ. 1 περ. δ’ στην κατηγορία των συστημάτων «μη αποδεκτού κινδύνου» και η χρήση τους απαγορεύεται, εκτός αν είναι αυστηρά αναγκαία για έναν από τους ακόλουθους σκοπούς:i. την στοχευμένη αναζήτηση πιθανών θυμάτων εγκλημάτων, περιλαμβανομένων εξαφανισμένων παιδιώνii. την πρόληψη επέλευσης συγκεκριμένης, σοβαρής και άμεσης απειλής για τη ζωή ή τη φυσική ασφάλεια φυσικών προσώπων ή τρομοκρατικών επιθέσεωνiii. την ανίχνευση, εντοπισμό, αναγνώριση και δίωξη δράστη εγκλήματος ή υπόπτου ενός εκ των 32 ποινικών αδικημάτων που περιλαμβάνονται στον κατάλογο της Απόφασης Πλαίσιο για το ευρωπαϊκό ένταλμα σύλληψης και εφόσον τιμωρείται και κατά το δίκαιο του κράτους-μέλους που αφορά με ποινή με ανώτατο όριο τουλάχιστον τα 3 έτη στέρησης της ελευθερίαςΕν συνεχεία, από τις διατάξεις της παραγράφου 2 του άρθρου 5 προβλέπονται τα κριτήρια λήψης αλλά και μεταγενέστερου ελέγχου της νομιμότητάς της απόφασης για τη χρήση του συστήματος: η φύση της κατάστασης που απαιτεί τη χρήση του συστήματος και ιδίως η σοβαρότητα, η πιθανότητα και το μέγεθος της βλάβης που μπορεί να προκληθεί από την μη χρήση του συστήματος, οι συνέπειες από τη χρήση στα δικαιώματα και τις ελευθερίες των ατόμων και ιδίως η σοβαρότητα, η πιθανότητα και το μέγεθος των συνεπειών. Επιπλέον, από τις ίδιες διατάξεις απαιτείται η χρήση των ανωτέρω συστημάτων να είναι σύμφωνη προς απαραίτητες και αναλογικές εγγυήσεις λαμβάνοντας υπόψη τους αναγκαίους χρονικούς, γεωγραφικούς και προσωπικούς περιορισμούς.3. Η σημαντικότερη εγγύηση προβλέπεται από τις διατάξεις της παραγράφου 3 του άρθρου 5 με την οποία εισάγεται η υποχρέωση προηγούμενης αδειοδότησης της σε πραγματικό χρόνο λειτουργίας του συστήματος αναγνώρισης σε δημόσια προσβάσιμους χώρους, η οποία θα πρέπει να παρέχεται από ανεξάρτητη και αμερόληπτη δικαστική ή διοικητική αρχή, κατόπιν αιτιολογημένου αιτήματος της αρμόδιας αρχής που θα συνοδεύεται από αντικειμενικές αποδείξεις ή εναργείς ενδείξεις, εφόσον είναι αναγκαία και αναλογική για την επίτευξη των επιδιωκόμενων σκοπών, λαμβάνοντας υπόψη τα κριτήρια της παρ. 2 και εφόσον προβλέπονται από εναργείς και αναλυτικές ρυθμίσεις που περιλαμβάνονται σε διατάξεις της εθνικής νομοθεσίας («ποιοτικός και προβλέψιμος νόμος»), απηχώντας κατά τον τρόπο αυτό τις απαιτήσεις συμβατότητάς προς τις διατάξεις του ΧΘΔΕΕ και ΕΣΔΑ καθώς και την σχετική νομολογία τόσο του ΕΔΔΑ, όσο κυρίως του Δικαστηρίου της ΕΕ. όπως διαμορφώθηκε στο πλαίσιο εξέτασης της νομοθεσίας για την υποχρεωτική διατήρηση των δεδομένων από Παρόχους (ήδη ακυρωθείσα Οδηγία 2006/24/ΕΚ) και για την εφαρμογή των διατάξεων του άρ. 15 Οδηγίας 2002/58/ΕΚ, ήτοι από την απόφαση Digital Rights Ireland Ltd (C-293/12&C-594/12) έως την πρόσφατη ΗΚ. Prokuratuur (C-746/18). Κατ’ εξαίρεση, σε περίπτωση επείγοντος, οι σχετικές διασφαλίσεις μπορούν να λαμβάνονται μετά τη θέση σε λειτουργία του συστήματος.
4. Απολύτως σύμφωνα προς το πεδίο εφαρμογής του δικαίου της ΕΕ., στην παράγραφο 4 του ίδιου άρθρου προβλέπεται ότι εναπόκειται στην διακριτική ευχέρεια του κάθε κράτους μέλους να επιτρέψει ή μη (αιτ. σκ. 22) , την εν όλω ή εν μέρει χρήση συστημάτων απομακρυσμένης βιομετρικής ταυτοποίησης σε δημόσια προσβάσιμους χώρους σε πραγματικό χρόνο (real time RBI), σύμφωνα όμως με τους όρους και εγγυήσεις που αναφέρονται στις προηγούμενες παραγράφους που θα περιληφθούν στον εθνικό νόμο και επιπλέον θα προσδιορίζεται η αρμόδια αρχή που θα παρέχει την άδεια για τη χρήση των συστημάτων αυτών για λόγους επιβολής του νόμου. Τα ανωτέρω φαίνεται ότι δεν καλύπτουν τις περιπτώσεις χρήσης συστημάτων ΤΝ ετεροχρονισμένης λειτουργίας (post RBI).
Γ. Η σχέση των διατάξεων του σχ Καν ΤΝ προς εκείνες της Οδηγίας 680/16 για την επεξεργασία δεδομένων προσωπικού χαρακτήρα για λόγους επιβολής του νόμου.1. Η επεξεργασία δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές για τους σκοπούς της πρόληψης, διερεύνησης, ανίχνευσης και δίωξης ποινικών αδικημάτων (ήδη «σκοπούς επιβολής του νόμου») προβλέπονται από την Οδηγία 680/16, όπως ενσωματώθηκε με το κεφάλαιο Δ’ του ν. 4624/2019.Όπως προεκτέθηκε, τα εν λόγω συστήματα απομακρυσμένης βιομετρικής ταυτοποίησης σε δημόσια προσβάσιμους χώρους σε πραγματικό χρόνο (real time RBI), κατ’ αρχήν υπάγονται στην κατηγορία των συστημάτων ΤΝ «μη αποδεκτού κινδύνου» και άρα απαγορεύεται η χρήση τους, εκτός αν εξαιρετικά συντρέχουν οι ουσιαστικές και διαδικαστικές προϋποθέσεις που επίσης προεκτέθηκαν. Εάν συντρέχουν οι τελευταίες, τότε τα εν λόγω συστήματα, προκειμένου να είναι σύμφωνα με τις κατασκευαστικές και λοιπές απαιτήσεις και υποχρεώσεις του σχ Καν. ΤΝ, υπάγονται στις διατάξεις που αφορούν τις οικείες σχεδιαστικές, κατασκευαστικές και λειτουργικές υποχρεώσεις των συστημάτων ΤΝ «υψηλού κινδύνου» σύμφωνα με τη ρητή πρόβλεψη του άρθρου 6 παρ. 2 σχ. Καν. ΤΝ και επιπλέον σε εκείνες του άρθρου 43 παρ. 1 για τον έλεγχο της αξιολόγησης της συμμόρφωσης από αρμόδια αρχή. Εξαιρέσεις από τις υποχρεώσεις διαφάνειας των προμηθευτών και χρηστών συστημάτων ΤΝ για σκοπούς επιβολής του νόμου προβλέπονται από τις διατάξεις του άρ. 52 σχ Καν ΤΝΟι ανωτέρω απαιτήσεις/υποχρεώσεις αφορούν το πρώτο στάδιο σχεδιασμού, κατασκευής και λειτουργίας του συστήματος ΤΝ προ της κυκλοφορίας του στην αγορά και της χρήσης του. Εάν οι απαιτήσεις/υποχρεώσεις εκείνες δεν πληρούνται, το σύστημα ΤΝ δεν μπορεί να κυκλοφορήσει στην αγορά και άρα να τεθεί σε λειτουργία. Υπενθυμίζεται ότι κατά την τελευταία φάση του πρώτου σταδίου συμμόρφωσης προς τις απαιτήσεις και ελέγχου τους, το σύστημα ΤΝ καταχωρείται σε ειδική βάση δεδομένων της ΕΕΕν όψει των ανωτέρω, προτού καταφύγει κανείς στον έλεγχο των προϋποθέσεων νομιμότητας της επεξεργασίας των βιομετρικών δεδομένων, θα πρέπει σε ένα πρώτο στάδιο να έχει διασφαλιστεί η συμμόρφωση προς τις απαιτήσεις και την πλήρωση των υποχρεώσεων του Σχ Κ ΤΝ.
2. Από την αιτιολογική σκέψη 23 του σχ Καν ΤΝ προκύπτει ότι οι διατάξεις του για τη χρήση των συστημάτων RBI σε πραγματικό χρόνο σε δημόσια προσβάσιμους χώρους από αρμόδιες αρχές για σκοπούς επιβολής του νόμου, η οποία συνεπάγεται την επεξεργασία βιομετρικών δεδομένων, βασίζεται στο άρθρο 16 της Συνθήκης Λειτουργίας της ΕΕ (ΣΛΕΕ) για την προστασία προσωπικών δεδομένων και επομένως εφαρμόζονται ως ειδικότερες (“lex specialis”) εκείνων του άρθρου 10 της Οδηγίας 680/16 που ρυθμίζουν το ίδιο αντικείμενο, ήτοι την επεξεργασία βιομετρικών δεδομένων. Επισημαίνεται δε από την ίδια αιτιολογική σκέψη ότι η χρήση και η επεξεργασία των βιομετρικών δεδομένων στην περίπτωση των συγκεκριμένων συστημάτων ΤΝ θα είναι δυνατή μόνο εφόσον είναι σύμφωνη αποκλειστικά προς το πλαίσιο που ορίζεται από τον Κανονισμό ΤΝ χωρίς να παρέχεται άλλο ουσιαστικό πεδίο εφαρμογής (εκτός του παρόντος) στις αρμόδιες αρχές για λόγους επιβολής του νόμου που προβλέπονται στο πλαίσιο του άρθρου 10 της Οδηγίας 680/16Τέλος, επισημαίνεται από την ίδια αιτιολογική σκέψη ότι στο πλαίσιο αυτό ο εν λόγω Κανονισμός ΤΝ δεν αποσκοπεί στο να παρέχει τη νομική βάση για την επεξεργασία των προσωπικών δεδομένων υπό το άρθρο 8 της Οδηγίας 680/16, εννοώντας πιθανώς ότι ο Κανονισμός ΤΝ δεν εμπίπτει στην περίπτωση του εξουσιοδοτικού δικαίου της ΕΕ. που αναφέρεται στην παράγραφο 2 του άρθρου 8 της Οδηγίας 680/16 και επομένως η νομική βάση θα διαπλασθεί με βάση το εθνικό δίκαιο κατ’ εξουσιοδότηση του Κανονισμού ΤΝ. Στην περίπτωση εκείνη, η όποια εθνική ρύθμιση για την χρήση του συστήματος απομακρυσμένης βιομετρικής ταυτοποίησης σε πραγματικό χρόνο σε δημόσια προσβάσιμους χώρους καθώς και η επεξεργασία των βιομετρικών δεδομένων θα βασίζεται στις διατάξεις του Κανονισμού ΤΝ και όχι σε εκείνες των άρθρων 8 και 10 της Οδηγίας 680/16.
Πηγή: https://www.lawspot.gr/nomika-nea/i-anagnorisi-kai-taytopoiisi-prosopon-gia-skopoys-dioxis-toy-egklimatos-symfona-me-shedio
Του Γρηγόρη Τσόλια, Δικηγόρου-ΜΔ Ποινικών Επιστημών, Μέλους (αν.) Αρχής Προστασίας Δεδομένων, Εθνικού Εμπειρογνώμονα Working Group CDPC του Συμβουλίου της Ευρώπης “Artificial Intelligence & Criminal Law”