Bruksela, 24 maja – Na ostatniej sesji plenarnej EROD przyjęła opinię w sprawie stosowania technologii rozpoznawania twarzy przez operatorów portów lotniczych i przedsiębiorstwa lotnicze w celu usprawnienia przepływu pasażerów w portach lotniczych*. Niniejsza opinia wydana na podstawie art. 64 ust. 2 na wniosek francuskiego organu ochrony danych dotyczy kwestii o zasięgu ogólnym i wywołuje skutki w więcej niż jednym państwie członkowskim.

Przewodnicząca EROD Anu Talus powiedziała: Coraz więcej operatorów portów lotniczych i linii lotniczych na całym świecie pilotuje systemy rozpoznawania twarzy, które umożliwiają pasażerom łatwiejsze przechodzenie przez różne punkty kontrolne. Ważne jest, aby mieć świadomość, że dane biometryczne są szczególnie wrażliwe i że ich przetwarzanie może stwarzać znaczne ryzyko dla osób fizycznych. Technologia rozpoznawania twarzy może prowadzić do fałszywych negatywów, uprzedzeń i dyskryminacji. Niewłaściwe wykorzystanie danych biometrycznych może również mieć poważne konsekwencje, takie jak oszustwo dotyczące tożsamości lub podszywanie się pod inną osobę. W związku z tym wzywamy linie lotnicze i operatorów portów lotniczych do wyboru mniej inwazyjnych sposobów usprawnienia przepływu pasażerów, o ile to możliwe. Zdaniem EROD osoby fizyczne powinny mieć maksymalną kontrolę nad własnymi danymi biometrycznymi”.

W opinii przeanalizowano zgodność przetwarzania z zasadą ograniczenia przechowywania (art. 5 ust. 1 lit. e) RODO), zasadą integralności i poufności (art. 5 ust. 1 lit. f) RODO), uwzględnianiem ochrony danych w fazie projektowania i domyślną ochroną danych (art. 25 RODO) oraz bezpieczeństwem przetwarzania (art. 32 RODO). Zgodność z innymi przepisami RODO, w tym dotyczącymi zgodności przetwarzania z prawem, nie wchodzi w zakres niniejszej opinii.**

W UE nie ma jednolitego wymogu prawnego, aby operatorzy portów lotniczych i przedsiębiorstwa lotnicze sprawdzali, czy nazwisko na karcie pokładowej pasażera odpowiada nazwisku na jego dokumencie tożsamości, co może podlegać przepisom krajowym. W związku z tym, jeżeli nie jest wymagana weryfikacja tożsamości pasażerów za pomocą urzędowego dokumentu tożsamości, nie należy przeprowadzać takiej weryfikacji z wykorzystaniem danych biometrycznych, ponieważ skutkowałoby to nadmiernym przetwarzaniem danych.

W swojej opinii EROD rozważyła zgodność przetwarzania danych biometrycznych pasażerów z czterema różnymi rodzajami rozwiązań w zakresie przechowywania, począwszy od tych, które przechowują dane biometryczne wyłącznie w rękach osoby fizycznej, a skończywszy na tych, które opierają się na scentralizowanej architekturze przechowywania o różnych sposobach. We wszystkich przypadkach należy przetwarzać wyłącznie dane biometryczne pasażerów, którzy aktywnie zapisują się i wyrażają zgodę na udział.

EROD stwierdziła, że jedynymi rozwiązaniami w zakresie przechowywania, które mogą być zgodne z zasadą integralności i poufności, ochroną danych już w fazie projektowania i domyślną ochroną danych oraz bezpieczeństwem przetwarzania, są rozwiązania, w ramach których dane biometryczne są przechowywane w rękach osoby fizycznej lub w centralnej bazie danych, ale z kluczem szyfrującym wyłącznie w jej rękach. Te rozwiązania w zakresie przechowywania, jeśli zostaną wdrożone z listą zalecanych minimalnych zabezpieczeń, są jedynymi sposobami, które odpowiednio równoważą inwazyjność przetwarzania, oferując osobom fizycznym największą kontrolę. 

EROD stwierdziła, że rozwiązania oparte na przechowywaniu w scentralizowanej bazie danych w porcie lotniczym lub w chmurze, bez kluczy szyfrujących w rękach osoby fizycznej, nie mogą być zgodne z wymogami uwzględniania ochrony danych w fazie projektowania i domyślnej ochrony danych, a jeżeli administrator ograniczy się do środków opisanych w analizowanych scenariuszach, nie spełni wymogów bezpieczeństwa przetwarzania.
Jeżeli chodzi o zasadę ograniczenia przechowywania, administratorzy muszą zapewnić wystarczające uzasadnienie planowanego okresu przechowywania i ograniczyć go do tego, co jest konieczne do zamierzonego celu.

Następnie organy ochrony danych przyjęły sprawozdanie z prac grupy zadaniowej ChatGPT. Ta grupa zadaniowa została utworzona przez EROD w celu promowania współpracy między organami ochrony danych badającymi chatbota opracowanego przez OpenAI.

Sprawozdanie zawiera wstępne opinie na temat niektórych aspektów omawianych między organami ochrony danych i nie przesądza o analizie, która zostanie przeprowadzona przez każdy organ ochrony danych w ramach prowadzonego przez niego dochodzenia***.

Przeanalizowano w nim szereg aspektów dotyczących wspólnej interpretacji mających zastosowanie przepisów RODO istotnych dla różnych toczących się dochodzeń, takich jak:

• zgodność z prawem gromadzenia danych szkoleniowych („web scraping”), a także przetwarzania danych w celu wprowadzania, wyprowadzania i szkolenia ChatGPT.
• uczciwość:  zapewnienie zgodności z RODO jest obowiązkiem OpenAI, a nie osób, których dane dotyczą, nawet gdy osoby fizyczne wprowadzają dane osobowe.
• przejrzystość i  dokładność danych: administrator powinien udzielać odpowiednich informacji na temat probabilistycznego charakteru wyników ChatGPT i wyraźnie odnosić się do faktu, że wygenerowany tekst może być stronniczy lub zmyślony.
• W sprawozdaniu wskazano, że konieczne jest, aby osoby, których dane dotyczą, mogły skutecznie korzystać ze swoich praw.

Członkowie grupy zadaniowej opracowali również wspólny kwestionariusz jako możliwą podstawę wymiany informacji z otwartą sztuczną inteligencją, który jest publikowany jako załącznik do sprawozdania.

Ponadto EROD postanowiła opracować wytyczne dotyczące generatywnej sztucznej inteligencji, koncentrując się jako pierwszy krok na gromadzeniu danych w kontekście szkolenia w zakresie sztucznej inteligencji.

Ponadto EROD przyjęła oświadczenie w sprawie pakietu Komisji dotyczącego dostępu do danych finansowych i płatności (obejmującego wnioski dotyczące rozporządzenia w sprawie ram dostępu do danych finansowych (FIDA), rozporządzenia w sprawie usług płatniczych (PSR) oraz dyrektywy w sprawie usług płatniczych 3 (PSD3)).
EROD przyjmuje do wiadomości sprawozdania Parlamentu Europejskiego dotyczące wniosków w sprawie FIDA i PSR, ale uważa, że w odniesieniu do zapobiegania nieuczciwym transakcjom i ich wykrywania w mechanizmie monitorowania transakcji zawartym we wniosku w sprawie PSR należy uwzględnić dodatkowe zabezpieczenia w zakresie ochrony danych. Ważne jest zapewnienie, aby poziom ingerencji w podstawowe prawo do ochrony danych osobowych zainteresowanych osób był konieczny i proporcjonalny do celu, jakim jest zapobieganie oszustwom płatniczym.