Goedkeuring ontwerpbesluit en DPIA algoritmische verwerking van camerabeelden
De Franse gegevensbeschermingsautoriteit keurde een ontwerpbesluit en een DPIA goed die door het Franse ministerie van Binnenlandse Zaken werden uitgevoerd. Het ontwerp van decreet schetste plannen voor de ontwikkeling en implementatie van een systeem van algoritmische verwerking van beelden verzameld door luchtvideobewaking, te gebruiken tijdens de Olympische Spelen van 2024 met het oog op het identificeren van terrorismerisico's.
Feiten
De minister van Binnenlandse Zaken (de verwerkingsverantwoordelijke) heeft de Franse GBA om advies gevraagd over een ontwerp van decreet dat is opgesteld op grond van wet nr. 2023-380 van 19 mei 2023. Artikel 10 van deze wet stelt een kader vast voor de ontwikkeling en implementatie van een systeem voor algoritmische verwerking van beelden verzameld door videobewaking vanuit de lucht, te gebruiken tijdens de Olympische Spelen van 2024 met het oog op het identificeren van terrorismerisico's. De voor de verwerking verantwoordelijke wilde zich beroepen op artikel 6, lid 1, onder e), van de AVG (algemeen belang) als rechtsgrondslag voor de verwerking, die om rechtmatig te zijn, moet worden geregeld door het recht van de Unie of het recht van de lidstaten waaraan de voor de verwerking verantwoordelijke is onderworpen (artikel 6, lid 3, AVG).
In het onderhavige geval is wet nr. 2023-380 van 19 mei 2023 het nationale recht dat de verwerking regelt, overeenkomstig de vereisten van artikel 6, lid 3, AVG. Artikel 10 van wet nr. 2023-380 bepaalt dat de verwerking, om rechtmatig te zijn, eerst moet worden toegestaan door een decreet dat is genomen na het advies van de Franse DPA (CNIL). Om dit te bereiken, heeft het ministerie van Binnenlandse Zaken een gegevensbeschermingseffectbeoordeling (DPIA) uitgevoerd zoals vereist door artikel 35 AVG en deze samen met het ontwerpbesluit ter goedkeuring voorgelegd aan de Franse gegevensbeschermingsautoriteit zoals vereist door artikel 36 AVG.
Beoordeling
De CNIL heeft een gunstig advies uitgebracht over het ontwerp van decreet en de bijbehorende gegevensbeschermingseffectbeoordeling die is uitgevoerd overeenkomstig wet nr. 2023-380 van 19 mei 2023. De CNIL keurde het gebruik van algoritmische verwerking van beelden verzameld door videobewaking vanuit de lucht goed, omdat de door de controller geschetste maatregelen werden geacht de risico's die zouden kunnen voortvloeien uit de risicovolle verwerking voldoende te beperken.
De verwerkingsverantwoordelijke somde in het ontwerp van decreet en DPIA uitputtend de vooraf bepaalde gebeurtenissen op die de algoritmische verwerking mocht detecteren. Het systeem was ontworpen om voornamelijk achtergelaten objecten te detecteren en alleen personen te detecteren in het geval van een verstorende gebeurtenis door een verstoring van het pand, het was niet toegestaan om beelden te detecteren en te verwerken van personen die continu zaten (artikel 3 van wet nr. 2023-380 van 19 mei 2023).
Bovendien garandeerde artikel 2 van het ontwerp van decreet dat de verzamelde gegevens niet zouden worden gebruikt voor het monitoren of opnieuw identificeren van personen door middel van biometrische en niet-biometrische gegevens (bijvoorbeeld kledingherkenning).
Ten slotte keurde de CNIL het ontwerpbesluit goed en de DPIA omdat de voor de verwerking verantwoordelijke de passende waarborgen had geboden op grond van artikel 22, lid 3, van de AVG, aangezien de voor de verwerking verantwoordelijke ervoor zorgde dat menselijke tussenkomst werd opgenomen in de systematische identificatie van signaleringen.
Naast het goedkeuren van de verwerking op de bovenstaande gronden, heeft de Franse DPA de volgende aanbevelingen gedaan.
De CNIL verzocht om de gegevens die in de ontwerpfase worden verwerkt, zoveel mogelijk systematisch te onderwerpen aan pseudonimiserings- en vervagingstechnieken. Bovendien heeft de CNIL gevraagd dat het ministerie van Binnenlandse Zaken er tijdens de ontwerpfase van het algoritme voor zorgt dat de openbaarmakingsverplichtingen uit hoofde van artikel 14 AVG via de website van de verwerkingsverantwoordelijke worden gecommuniceerd, met bijzondere aandacht voor het bekendmaken van de plaats en datum van het gefilmde evenement, evenals het doel en het mogelijke hergebruik van de afbeeldingen. De CNIL erkende dat communicatie op grond van artikel 14 AVG juridisch niet noodzakelijk was, aangezien in het onderhavige geval de beperkingen van artikel 23 van de AVG van toepassing waren. Artikel 23 van de AVG bepaalt dat het Unierecht of het lidstatelijke recht waaraan de voor de verwerking verantwoordelijke is onderworpen, de reikwijdte van de verplichtingen en rechten waarin de artikelen 12 tot en met 22 voorzien, kan beperken. In dit geval voorzag de nationale nationale veiligheidswetgeving in dergelijke beperkingen. Niettemin voerden ze aan dat het ministerie de bovenstaande informatie zou moeten communiceren om "meer transparantie en loyaliteit aan het publiek" te garanderen.
De CNIL heeft ook aanbevolen dat het ministerie tijdens de uitvoeringsfase bijzondere aandacht besteedt aan het beginsel van gegevensminimalisatie (artikel 5, lid 1, onder b), AVG) en het aantal personeelsleden dat toegang heeft tot de verwerkte gegevens beperkt. Bovendien wordt ten zeerste aanbevolen dat tijdens de ontwerp- en uitvoeringsfase geen verzamelde gegevens buiten de EU worden doorgegeven en dat buitenlandse autoriteiten geen toegang tot de verzamelde gegevens wordt verleend.
[vertaling uit het Engels met Google translate)
Bron: CNIL (France) - Délibération 2023-076 - GDPRhub