מועצת הרגולטורים האירופאים להגנת המידע (EDPB) פרסמה להערות הציבור טיוטת הנחיה על שימוש באמצעי זיהוי פנים ע"י רשויות אכיפה. הטיוטה מדגישה כי אמצעי זיהוי פנים מבוססים על טכנולוגיית זיהוי ביומטרי המהווה מידע אישי רגיש, ולעתים מבוססים על מנועי למידת מכונה ובינה מלאכותית המעוררים סיכון להטייה ואפליה על בסיס גזע ומוצא אתני.
ההנחיה מדגישה כי שימוש באמצעי זיהוי ביומטריים לצורכי אכיפה מחייב חקיקה לאומית מפורשת וברורה שבה המחוקק מסמיך את הרשות המבצעת לעבד מידע אישי רגיש לצורכי מטרה פרטיקולרית. ההנחיה מצפה שהמחוקק יוועץ ברשות הלאומית להגנת מידע לפני חקיקה כזו. בנוסף, החקיקה צריכה להלום את המטרה הלגיטימית שהיא נועדה לשרת.
לפי טיוטת ההנחיה, חקיקה כזו צריכה להיות ממוקדת להשגת מטרה קונקרטית כלפי נושאי מידע קונקרטיים, ולא להעניק הסמכה כללית לשימוש באמצעי זיהוי ביומטריים לשמירת הסדר הציבורי. על החקיקה להיות מידתית ולא ניתן להצדיק עיבוד מידע ביומטרי שיטתי וכללי. עיבוד כזה יכול להיעשות רק בנסיבות בהן הוא הכרחי לחלוטין. כאשר האמצעים הביומטריים מופעלים על אוכלוסייה גנרית הכוללת נושאי מידע שאינם חשודים בדבר, כמעט שאין להעלות על הדעת הצדקה חוקית לעיבוד מידע ביומטרי אודותם לצורכי שיטור ואכיפה. law.co.il מזכיר כי בדעת הממשלה בישראל לפעול בניגוד לכל העקרונות האלה.
ההנחיה מדגישה שוב את הקריאה המשותפת של ה-EDPB ושל הממונה על הגנת המידע במוסדות האיחוד האירופי (European Data Protection Supervisor - EDPS) לאסור כליל עיבוד מיעד ביומטרי בסיטואציות כדוגמת:
- המרחב הציבורי הכללי.
- לצורך סיווג אנשים לפי מוצא אתני, דעות פוליטיות, נטיה מינית, או מגדר.
- לצורך הסקת מסקנות על מצבו הרגשי של אדם.
- קצירת מידע ביומטרי בהיקפים גדולים וללא אבחנה, כדוגמת עיבוד מידע כזה מתוך תמונות המתפרסמות ברשת.
עוד מדגישה ההנחיה כי העובדה שתמונתו של אדם פורסמה באופן פומבי, למשל ברשת חברתית, לא מהווה בסיס חוקי המאפשר לרשויות לעבד את התמונה לכדי מידע ביומטרי. בנוסף, רשויות אכיפה נדרשות לערוך תסקיר השפעה על הגנת מידע (Data Protection Impact Assessment - DPIA) לפני השימוש באמצעי זיהוי ביומטריים ואף לפרסם לציבור את התסקיר שנערך, או לפחות את עיקריו. הן גם נדרשות להיוועץ ברשות הלאומית להגנת מידע לפני השימוש באמצעים כאלה, נוכח הפגיעה הצפויה בפרטיות נושאי המידע. הרשויות גם נדרשות ליישם אמצעי אבטחת מידע נאותים, ובפרט ליישם יומן אירועים טכני (לוגים) על מנת לנטר את השימושים שנעשים בכלים הביומטריים ואת חוקיות השימוש.
טיוטת ההנחיה פתוחה להערות הציבור עד ל-27 ביוני 2022.