Kasvojentunnistustekniikka tarjoaa monenlaisia mahdollisuuksia esimerkiksi tiettyjen tilojen tai tapahtumien kulunvalvonnassa, myymälävarkauksien estämisessä tai turvallisuuden ja järjestyksen ylläpitämisessä yleisötapahtumissa. Tällaisen tekniikan käytössä on kuitenkin otettava huomioon sovellettavat yksityisyyteen liittyvät lait ja säädökset, joita ovat etenkin Euroopan Unionin yleinen tietosuoja-asetus (2016/679, "GDPR") EU-jäsenmaissa ja näiden jäsenmaiden kansalliset asiaa koskevat lait ja säädökset.
Yleisen tietosuoja-asetuksen 9 artikla koskee ns. erityisten henkilötietoryhmien käsittelyä, eli sellaisten henkilötietojen, jotka ovat luonteeltaan arkaluonteisia ja joihin kuuluu biometristen tietojen käsittely luonnollisen henkilön yksiselitteistä tunnistamista varten. Kasvojentunnistussovelluksiin liittyy yleensä tällaisia biometrisiä tietoja, jotka kohdistuvat henkilön tarkkaan tunnistamiseen. Tunnistustarkkuus riippuu useista tekijöistä, kuten käytettyjen kuvien laadusta ja tiettyjen algoritmien käytöstä.
Erityisten henkilötietoryhmien käsittely on tietosuoja-asetuksen 9 artiklan nojalla kielletty tiettyjä poikkeuksia lukuun ottamatta. Tietosuoja-asetuksen mukaan biometristen tietojen käsittelyyn liittyvien poikkeuksien on erityisesti kulunvalvontasovelluksien käytön osalta täytettävä ainakin yksi seuraavista ehdoista:
1. rekisteröity on antanut nimenomaisen suostumuksensa kyseisten henkilötietojen käsittelyyn yhtä tai useampaa tiettyä tarkoitusta varten, tai
2. käsittely on tarpeen tärkeää yleistä etua koskevasta syystä unionin oikeuden tai jäsenvaltion lainsäädännön nojalla, edellyttäen että se on oikeasuhteinen tavoitteeseen nähden, siinä noudatetaan keskeisiltä osin oikeutta henkilötietojen suojaan ja siinä säädetään asianmukaisista ja erityisistä toimenpiteistä rekisteröidyn perusoikeuksien ja etujen suojaamiseksi.
Näin ollen ellei pätevänä oikeudellisena perusteena voida käyttää tietosuoja-asetuksen mukaisesti saatua suostumusta, pätevän oikeudellisen perusteen tulee pohjautua EU-jäsenvaltioiden kansalliseen lainsäädäntöön ja säädöksiin. Kasvojentunnistussovelluksien hyväksyttävä käyttö kulunvalvonnassa voi siis vaihdella EU-jäsenvaltioiden välillä. Ei ole mitään yleispätevää vastausta siihen, onko laillinen peruste olemassa, vaan arviointi on tehtävä tapauskohtaisesti. Onneksi eräät kansalliset tietosuojaviranomaiset ovat jo antaneet joitakin ohjeistuksia.
Tanskalainen jalkapallojoukkue Brøndby IF sai Tanskan tietosuojaviranomaiselta luvan käyttää kasvojentunnistustekniikkaa sellaisten henkilöiden tunnistamiseen, joilta on aikaisemmin kielletty pääsy otteluihin jalkapallohuliganismin estämiseksi ja vähentämiseksi.
Ennen järjestelmän käyttöönottoa Brøndby IF teki tietosuoja-asetuksen 35 artiklan mukaisen tietosuojaa koskevan vaikutustenarvioinnin ja pyysi Tanskan tietosuojaviranomaiselta tietosuoja-asetuksen 36 artiklan mukaista ennakkokuulemista. Vaikutusten arviointi ja kuuleminen ennen käyttöä ovatkin kaksi tärkeintä toimenpidettä, jotka tulee tehdä ennen kasvojentunnistusjärjestelmien käyttöönottoa. Tanskassa ehdotetussa järjestelmässä turvahenkilökunta saisi hälytyssignaalin, kun järjestelmä havaitsee henkilön, jolta sisäänpääsy on mahdollisesti kielletty. Turvahenkilökunta voisi sitten tarkistaa ja varmistaa, onko järjestelmän tunnistama henkilö todellakin kieltolistalla.
Näissä olosuhteissa laillinen peruste henkilötietojen käsittelemiseksi pohjautui tärkeään yleiseen etuun. Vaikka on käyty keskustelua, muodostaako tämä riittävän tärkeän yleisen edun, jalkapallo-otteluita voidaan pitää joukkotapahtumina, joissa kasvojentunnistustekniikan käyttö palvelee tärkeää yleistä etua takaamalla paikalla olevan yleisön turvallisuutta.
Tanskan esimerkki osoittaa, että pohjan luominen tärkeälle yleiselle edulle kansallisen lainsäädännön nojalla on oleellinen tekijä erityisesti ennaltaehkäisevän kulunvalvonnan tapauksissa, joissa suostumukseen perustuva käsittely ei ole mahdollisesti käytettävissä. Kun tärkeää yleistä etua käytetään käsittelyn pohjana, vaikutusten arvioinnilla ja kansallisen tietosuojaviranomaisen kanssa käytävällä ennakkokuulemisella on ratkaiseva merkitys.
Tietosuoja-asetuksen 35 artiklan mukaisesti vaikutusten arviointi on tehtävä, jos suunniteltu henkilötietojen käsittely voi aiheuttaa henkilön oikeuksien ja vapauksien kannalta korkean riskin. Tämä on erityisen tärkeää, kun kysessä on jokin seuraavista:
Vaikutusten arviointia voidaan tarvita myös sen jälkeen, kun käsittelytoimenpide on lisätty asianomaisen tietosuojaviranomaisen luetteloon tai se perustuu kansallisessa lainsäädännössä ja säädöksissä asetettuun vaatimukseen. Esimerkiksi Suomen tietosuojaviranomainen edellyttää vaikutusten arvioinnin tekemistä käsiteltäessä biometrisiä tietoja kulunvalvontaratkaisujen yhteydessä aina, kun käsittelyyn liittyy jokin seuraavista:
Lisäksi edellytetään tietosuoja-asetuksen 36 artiklan mukaista ennakkokuulemista, jos vaikutusten arvioinnista ilmenee, että suunniteltu käsittely johtaisi rekisteröityihin kohdistuvaan korkeaan riskiin ja rekisterinpitäjä ei ole kyennyt ottamaan käyttöön toimenpiteitä riskin alentamiseksi.
On huomattava, että ennakkokuulemista ei voida pitää ennen kuin rekisterinpitäjä on tehnyt vaikutusten arvioinnin. Tämän jälkeen asianomaisen tietosuojaviranomaisen kanssa on neuvoteltava esimerkiksi siitä, voisiko rekisteröidyille koitua merkittäviä tai peruuttamattomia seurauksia, joita voi olla vaikea korjata. Rekisterinpitäjien on pyydettävä ennakkokuulemista myös tilanteissa, joissa kansallinen lainsäädäntö vaatii niitä neuvottelemaan asianomaisen tietosuojaviranomaisen kanssa ja/tai hankkimaan tältä ennakkoluvan. Kulunvalvontaan käytettävien kasvojentunnistusratkaisujen osalta, erityisesti laajamittaisesti toteutettuna, ennakkokuuleminen näyttää siis olevan välttämätöntä sen varmistamiseksi, että kaikki lain vaatimukset täyttyvät.
Kasvojentunnistustekniikka tarjoaa kulunvalvontaan paljon mahdollisuuksia, mutta tällaiseen tekniikkaan liittyy erityisen tiukkoja tietosuoja-asetuksen mukaisia vaatimuksia, sillä siihen liittyy biometristen tietojen käsittelyä ja se kuuluu näin ollen artiklan 9 erityistietoryhmien piiriin. Pätevän oikeudellisen perustan muodostaminen voi vaihdella jonkin verran maittain EU:n sisällä, koska kansallisten lakien ja säädöksien soveltamisessa on eroja. Tällaisissa tapauksissa on äärimmäisen tärkeää käyttää vaikutusten arviointia ja kansallisen tietosuojaviranomaisen ennakkokuulemista.