Brusel 24. května – Evropský sbor pro ochranu osobních údajů přijal na svém posledním plenárním zasedání stanovisko k používání technologií rozpoznávání obličeje provozovateli letišť a leteckými společnostmi za účelem zefektivnění toku cestujících na letištích*. Toto stanovisko podle čl. 64 odst. 2 se na žádost francouzského orgánu pro ochranu údajů zabývá záležitostí s obecnou působností a vyvolává účinky ve více než jednom členském státě.
Předseda EDPB Anu Talus uvedl: „Stále více provozovatelů letišť a leteckých společností po celém světě pilotuje systémy rozpoznávání obličeje, které cestujícím umožňují snadněji procházet různými kontrolními stanovišti. Je důležité si uvědomit, že biometrické údaje jsou obzvláště citlivé a že jejich zpracování může pro jednotlivce představovat značná rizika. Technologie rozpoznávání obličeje může vést k falešným negativům, předpojatosti a diskriminaci. Zneužití biometrických údajů může mít rovněž závažné důsledky, jako je zneužití totožnosti nebo vydávání se za jinou osobu. Vyzýváme proto letecké společnosti a provozovatele letišť, aby se pokud možno rozhodli pro méně rušivé způsoby, jak zefektivnit toky cestujících. Podle názoru EDPB by fyzické osoby měly mít maximální kontrolu nad svými vlastními biometrickými údaji.“
Stanovisko analyzuje slučitelnost zpracování se zásadou omezení uchovávání (čl. 5 odst. 1 písm. e) obecného nařízení o ochraně osobních údajů), zásadou integrity a důvěrnosti (čl. 5 odst. 1 písm. f) obecného nařízení o ochraně osobních údajů, záměrnou a standardní ochranou údajů (článek 25 obecného nařízení o ochraně osobních údajů) a bezpečnost zpracování (článek 32 obecného nařízení o ochraně osobních údajů). Dodržování dalších ustanovení GDPR, včetně ustanovení týkajících se zákonnosti zpracování, nespadá do oblasti působnosti tohoto stanoviska.**
V EU neexistuje jednotný právní požadavek, aby provozovatelé letišť a letecké společnosti ověřovali, zda jméno uvedené v palubní vstupence cestujícího odpovídá jménu uvedenému v jeho dokladu totožnosti, což může podléhat vnitrostátním právním předpisům. Není-li tedy vyžadováno ověření totožnosti cestujících úředním dokladem totožnosti, nemělo by se takové ověření s použitím biometrických údajů provádět, neboť by to vedlo k nadměrnému zpracování údajů.
EDPB se ve svém stanovisku zabýval souladem zpracování biometrických údajů cestujících se čtyřmi různými typy řešení ukládání, od řešení, která uchovávají biometrické údaje pouze v rukou jednotlivce, až po řešení, která se opírají o centralizovanou architekturu ukládání s různými způsoby. Ve všech případech by měly být zpracovávány pouze biometrické údaje cestujících, kteří se aktivně zaregistrují a souhlasí s účastí.
EDPB zjistil, že jedinými řešeními pro ukládání, která by mohla být slučitelná se zásadou integrity a důvěrnosti, záměrnou a standardní ochranou údajů a bezpečností zpracování, jsou řešení, kdy jsou biometrické údaje uloženy v rukou jednotlivce nebo v centrální databázi, ale pouze s šifrovacím klíčem v jejich rukou. Tato řešení ukládání, jsou-li zavedena se seznamem doporučených minimálních záruk, jsou jedinými způsoby, které adekvátně vyvažují rušivost zpracování tím, že jednotlivcům nabízejí největší kontrolu.
EDPB shledal, že řešení založená na uchovávání v centralizované databázi buď na letišti, nebo v cloudu, bez šifrovacích klíčů v rukou jednotlivce, nemohou být slučitelná s požadavky záměrné a standardní ochrany údajů, a pokud by se správce omezil na opatření popsaná v analyzovaných scénářích, nesplnil by požadavky na bezpečnost zpracování.
Pokud jde o zásadu omezení uchovávání, správci musí zajistit, aby měli dostatečné odůvodnění plánované doby uchovávání, a omezit ji na to, co je nezbytné pro navrhovaný účel.
Orgány pro ochranu údajů dále přijaly zprávu o činnosti pracovní skupiny ChatGPT. Tuto pracovní skupinu vytvořil Evropský sbor pro ochranu osobních údajů s cílem podpořit spolupráci mezi úřady pro ochranu osobních údajů, které vyšetřují chatbota vyvinutého společností OpenAI.
Zpráva obsahuje předběžná stanoviska k některým aspektům projednávaným mezi orgány pro ochranu údajů a nepředjímá analýzu, kterou každý orgán pro ochranu údajů provede ve svém příslušném probíhajícím vyšetřování***.
Analyzuje několik aspektů týkajících se společného výkladu použitelných ustanovení obecného nařízení o ochraně osobních údajů relevantních pro různá probíhající šetření, jako jsou:
zákonnost shromažďování údajů o školení („web scraping“), jakož i zpracování údajů pro vstup, výstup a školení ChatGPT.
- spravedlnost: zajištění souladu s obecným nařízením o ochraně osobních údajů je odpovědností společnosti OpenAI, a nikoli subjektů údajů, a to i v případě, že fyzické osoby vkládají osobní údaje.
- transparentnost a přesnost údajů: správce by měl poskytnout náležité informace o pravděpodobnostní povaze výstupu ChatGPT a výslovně odkázat na skutečnost, že generovaný text může být zkreslený nebo vymyšlený.
- Zpráva poukazuje na to, že je nezbytné, aby subjekty údajů mohly účinně uplatňovat svá práva.
Členové pracovní skupiny rovněž vypracovali společný dotazník jako možný základ pro výměnu informací s otevřenou umělou inteligencí, který je zveřejněn jako příloha zprávy.
Evropský sbor pro ochranu osobních údajů se dále rozhodl vypracovat pokyny pro generativní umělou inteligenci, přičemž se jako první krok zaměřil na odstraňování dat v souvislosti s odbornou přípravou v oblasti umělé inteligence.
V neposlední řadě přijal EDPB prohlášení o balíčku Komise týkajícím se přístupu k finančním údajům a plateb (který zahrnuje návrhy nařízení o rámci pro přístup k finančním údajům (FIDA), nařízení o platebních službách (PSR) a směrnice o platebních službách 3 (PSD3)).
EDPB bere na vědomí zprávy Evropského parlamentu o návrzích zákona FIDA a nařízení o platebních službách, domnívá se však, že pokud jde o prevenci a odhalování podvodných transakcí, měly by být do mechanismu sledování transakcí obsaženého v návrhu nařízení o platebních službách zahrnuty další záruky ochrany údajů. Je důležité zajistit, aby úroveň zásahu do základního práva dotčených osob na ochranu osobních údajů byla nezbytná a přiměřená cíli předcházení platebním podvodům.
Poznámka pro redaktory:
* Stanovisko má omezený rozsah a nezkoumá používání rozpoznávání obličeje obecně, a zejména se nevztahuje na používání rozpoznávání obličeje pro bezpečnostní účely, ochranu hranic nebo donucovací orgány.
** V žádosti se předpokládá, že zpracování bude založeno na souhlasu každého cestujícího. Vzhledem k omezenému rozsahu žádosti se však stanovisko nezabývá právním základem, a zejména platností souhlasu s takovým zpracováním.
***Do 15. února 2024 neměla společnost OpenAI v EU provozovnu, a proto se neuplatňoval mechanismus jediného kontaktního místa a každý orgán pro ochranu údajů je příslušný, pokud jde o potenciální porušení předpisů, k nimž došlo a která byla ukončena před tímto datem. Pracovní skupina bude i nadále projednávat vnitrostátní vyšetřování týkající se možných porušení předpisů spáchaných před únorem 2024. V případě porušení, která pokračují nebo k nimž dojde po únoru 2024, se použije mechanismus jednoho správního místa.
Všechny dokumenty přijaté během plenárního zasedání EDPB podléhají nezbytným právním, jazykovým a formátovacím kontrolám a po jejich dokončení budou zpřístupněny na internetových stránkách EDPB.
Zde zveřejněná tisková zpráva byla automaticky přeložena z angličtiny. EDPB nezaručuje přesnost překladu. Pokud existují nějaké pochybnosti, přečtěte si prosím oficiální text v jeho anglickém znění.