Brussel, 24 mei — Tijdens zijn laatste plenaire vergadering heeft de EDPB een advies uitgebracht over het gebruik van gezichtsherkenningstechnologieën door luchthavenexploitanten en luchtvaartmaatschappijen om de passagiersstroom op luchthavens te stroomlijnen*. Dit advies uit hoofde van artikel 64, lid 2, heeft, op verzoek van de Franse gegevensbeschermingsautoriteit, betrekking op een aangelegenheid van algemene strekking en heeft gevolgen in meer dan één lidstaat.

EDPB-voorzitter Anu Talus zei: „Meer en meer luchthavenexploitanten en luchtvaartmaatschappijen over de hele wereld besturen gezichtsherkenningssystemen waarmee passagiers gemakkelijker door de verschillende controleposten kunnen gaan. Het is belangrijk om te beseffen dat biometrische gegevens bijzonder gevoelig zijn en dat de verwerking ervan aanzienlijke risico’s kan opleveren voor individuen. Gezichtsherkenningstechnologie kan leiden tot valse negatieven, vooroordelen en discriminatie. Misbruik van biometrische gegevens kan ook ernstige gevolgen hebben, zoals identiteitsfraude of imitatie. Daarom dringen we er bij luchtvaartmaatschappijen en luchthavenexploitanten op aan te kiezen voor minder ingrijpende manieren om de passagiersstromen waar mogelijk te stroomlijnen. Volgens het EDPB moeten personen maximale controle hebben over hun eigen biometrische gegevens.”

Het advies analyseert de verenigbaarheid van de verwerking met het beginsel van beperking van de opslag (artikel 5, lid 1, onder e), AVG), het integriteits- en vertrouwelijkheidsbeginsel (artikel 5, lid 1, onder f), AVG, gegevensbescherming door ontwerp en standaardinstellingen (artikel 25 AVG) en de beveiliging van de verwerking (artikel 32 GPDR). Naleving van andere GDPR-bepalingen, waaronder met betrekking tot de rechtmatigheid van de verwerking, vallen niet onder deze conclusie.**

Er is in de EU geen uniforme wettelijke verplichting voor luchthavenexploitanten en luchtvaartmaatschappijen om na te gaan of de naam op de instapkaart van de passagier overeenkomt met de naam op hun identiteitsdocument, en dit kan onder de nationale wetgeving vallen. Wanneer daarom geen verificatie van de identiteit van de passagiers met een officieel identiteitsdocument vereist is, mag een dergelijke verificatie met het gebruik van biometrische gegevens niet worden uitgevoerd, aangezien dit zou leiden tot een buitensporige verwerking van gegevens.

In zijn advies heeft de EDPB overwogen of de verwerking van biometrische gegevens van passagiers in overeenstemming is met vier verschillende soorten opslagoplossingen, variërend van die waarin de biometrische gegevens alleen in handen van het individu worden opgeslagen tot degenen die afhankelijk zijn van een gecentraliseerde opslagarchitectuur met verschillende modaliteiten. In alle gevallen mogen alleen de biometrische gegevens van passagiers die zich actief inschrijven en ermee instemmen, worden verwerkt.

De EDPB heeft vastgesteld dat de enige opslagoplossingen die verenigbaar kunnen zijn met het integriteits- en vertrouwelijkheidsbeginsel, gegevensbescherming door ontwerp en standaardisering en beveiliging van de verwerking, de oplossingen zijn waarbij de biometrische gegevens worden opgeslagen in de handen van de persoon of in een centrale databank, maar met de coderingssleutel uitsluitend in hun handen. Deze opslagoplossingen, indien geïmplementeerd met een lijst van aanbevolen minimumwaarborgen, zijn de enige modaliteiten die de indringerigheid van de verwerking adequaat compenseren door personen de grootste controle te bieden. 
De EDPB heeft vastgesteld dat de oplossingen die gebaseerd zijn op de opslag in een gecentraliseerde databank op de luchthaven of in de cloud, zonder de encryptiesleutels in de handen van het individu, niet verenigbaar kunnen zijn met de vereisten inzake gegevensbescherming door ontwerp en standaard en, indien de verwerkingsverantwoordelijke zich beperkt tot de in de geanalyseerde scenario’s beschreven maatregelen, niet zou voldoen aan de vereisten inzake beveiliging van de verwerking.
Wat het beginsel van beperking van de opslag betreft, moeten de verwerkingsverantwoordelijken ervoor zorgen dat zij voldoende rechtvaardiging hebben voor de beoogde bewaartermijn en deze beperken tot wat nodig is voor het voorgestelde doel.

Vervolgens hebben de DPA’s een rapport aangenomen over het werk van de ChatGPT -taskforce. Deze taskforce is opgericht door de EDPB ter bevordering van de samenwerking tussen gegevensbeschermingsautoriteiten die onderzoek doen naar de door OpenAI ontwikkelde chatbot.

Het verslag bevat voorlopige standpunten over bepaalde aspecten die tussen GBA’s worden besproken en loopt niet vooruit op de analyse die elke gegevensbeschermingsautoriteit zal maken in hun respectieve lopende onderzoek***.

Het analyseert verschillende aspecten met betrekking tot de gemeenschappelijke interpretatie van de toepasselijke AVG-bepalingen die relevant zijn voor de verschillende lopende onderzoeken, zoals:

• rechtmatigheid van het verzamelen van opleidingsgegevens („web scraping”), alsmede verwerking van gegevens voor input, output en opleiding van ChatGPT.
• billijkheid: het waarborgen van de naleving van de AVG is een verantwoordelijkheid van OpenAI en niet van de betrokkenen, zelfs wanneer personen persoonsgegevens invoeren.
• transparantie en nauwkeurigheid van de gegevens: de verwerkingsverantwoordelijke moet de juiste informatie verstrekken over de probabilistische aard van de output van ChatGPT en expliciet verwijzen naar het feit dat de gegenereerde tekst bevooroordeeld of verzonnen kan zijn.
• In het verslag wordt erop gewezen dat het absoluut noodzakelijk is dat betrokkenen hun rechten doeltreffend kunnen uitoefenen.

De leden van de taskforce ontwikkelden ook een gemeenschappelijke vragenlijst als mogelijke basis voor hun uitwisselingen met Open AI, die als bijlage bij het verslag wordt gepubliceerd.

Voorts heeft het EDPB besloten richtsnoeren inzake generatieve AI te ontwikkelen, met de nadruk als eerste stap op het schrapen van gegevens in het kader van AI-opleidingen.

Tot slot heeft de EDPB een verklaring aangenomen over het „pakket voor toegang tot financiële gegevens en betalingen” van de Commissie (met inbegrip van de voorstellen voor de verordening betreffende het kader voor toegang tot financiële gegevens (FIDA), de verordening betalingsdiensten (PSR) en de richtlijn betalingsdiensten 3 (PSD3)).
De EDPB neemt nota van de verslagen van het Europees Parlement over de FIDA- en PSR-voorstellen, maar is van mening dat, met betrekking tot de preventie en opsporing van frauduleuze transacties, aanvullende gegevensbeschermingswaarborgen moeten worden opgenomen in het mechanisme voor toezicht op transacties van het PSR-voorstel. Het is belangrijk ervoor te zorgen dat het niveau van inmenging in het grondrecht op bescherming van persoonsgegevens van de betrokken personen noodzakelijk is en evenredig is met de doelstelling om betalingsfraude te voorkomen.