מועצת הרגולטורים האירופאים להגנת המידע (EDPB) פרסמה הנחיה סופית בנושא השימוש באמצעי זיהוי פנים ע"י רשויות אכיפה. ההנחיה מדגישה כי שימוש באמצעי זיהוי ביומטריים לצורכי אכיפה מחייב חקיקה לאומית מפורשת וברורה, שבה המחוקק מסמיך את הרשות המבצעת לעבד מידע אישי רגיש לצורכי מטרה מסוימת. חקיקה כזו צריכה להיות ממוקדת להשגת מטרה מוגדרת כלפי נושאי מידע מסוימים, ולא להעניק הסמכה כללית לשימוש באמצעי זיהוי ביומטריים לשמירת הסדר הציבורי.
ההנחיה הסופית זהה ברובה לטיוטת ההנחיה שפורסמה בחודש מאי 2021. מספר דגשים וחידודים נוספו להנחיה הסופית בהתאם להערות הציבור, וביניהם –
- אכיפה אפקטיבית על ידי הרשויות להגנת הפרטיות היא אמצעי מרכזי להגנה על זכויות האזרח העומדות בסיכון לאור השימוש באמצעי זיהוי פנים. לכן, על מדינות האיחוד האירופי לוודא כי הן מקצות משאבים הולמים שיאפשרו לרשויות למלא את חובות הפיקוח שלהן.
- תחולת ההנחיה מוגבלת לטכנולוגיות לזיהוי בלבד. עם זאת, סוגים אחרים של עיבוד של מידע ביומטרי על ידי רשויות החוק – ובייחוד עיבוד המתבצע מרחוק – עלולים להביא לסיכונים דומים לנושאי המידע. לפיכך, ייתכן שניתן יהיה ליישם, בהתאם לנסיבות העניין, היבטים מסוימים של ההנחיה גם על מקרים אחרים של עיבוד.
- ניתן לעבד מידע אישי לאימון ופיתוח של טכנולוגיות לזיהוי פנים רק בהתקיים בסיס חוקי מספק, ובהתאם לעקרונות הגנת המידע שבחוק.
- מעורבות אנושית בעיבוד התוצאות של טכנולוגיות זיהוי פנים עשויה שלא להוות, כשלעצמה, ערובה מספקת להגנה על זכויות נושאי המידע (ובייחוד הזכות להגנה על מידע אישי). זאת, בהתחשב בהטיות ובטעויות האנוש שעלולות להשפיע על העיבוד.
- העיבוד של מידע אישי באמצעות טכנולוגיות זיהוי פנים כפוף לעקרון האחריותיות (accountability) הקבוע בסעיף 4(4) ל-GDPR. אחד מהאלמנטים החשובים ביותר בהקשר זה, הוא התיעוד של הפעולות המתבצעות במערכת ושל ההליכים הפרוצדורליים הרלוונטיים לה (כדוגמת תסקיר השפעה על הפרטיות).