Ansigtsgenkendelse i lufthavne: personer bør have størst mulig kontrol over biometriske data

24 May 2024

Bruxelles, den 24. maj – På sin seneste plenarforsamling vedtog Databeskyttelsesrådet en udtalelse om lufthavnsoperatørers og luftfartsselskabers brug af ansigtsgenkendelsesteknologier til at strømline passagerstrømmen i lufthavne*. Denne udtalelse i henhold til artikel 64, stk. 2, behandler efter anmodning fra den franske databeskyttelsesmyndighed et almengyldigt spørgsmål og har virkninger i mere end én medlemsstat.

Databeskyttelsesrådets formand, Anu Talus, udtaler: "Flere og flere lufthavnsoperatører og luftfartsselskaber rundt om i verden tester ansigtsgenkendelsessystemer, der gør det lettere for passagererne at gå gennem de forskellige kontrolsteder. Det er vigtigt at være opmærksom på, at biometriske data er særligt følsomme, og at behandlingen af dem kan skabe betydelige risici for enkeltpersoner. Ansigtsgenkendelsesteknologi kan føre til falske negativer, bias og diskrimination. Misbrug af biometriske data kan også have alvorlige konsekvenser, f.eks. identitetssvig eller efterligning. Derfor opfordrer vi luftfartsselskaberne og lufthavnsoperatørerne til at vælge mindre indgribende måder at strømline passagerstrømmene på, når det er muligt. Efter Databeskyttelsesrådets opfattelse bør enkeltpersoner have størst mulig kontrol over deres egne biometriske data."

I udtalelsen analyseres behandlingens forenelighed med princippet om opbevaringsbegrænsning (artikel 5, stk. 1, litra e), i GDPR), princippet om integritet og fortrolighed (artikel 5, stk. 1, litra f), i GDPR), indbygget databeskyttelse og databeskyttelse gennem indstillinger (artikel 25 i GDPR) og behandlingssikkerhed (artikel 32 i GDPR). Overholdelse af andre bestemmelser i GDPR, herunder vedrørende lovligheden af behandlingen, er ikke omfattet af denne udtalelse.**

Der er ikke noget ensartet lovkrav i EU om, at lufthavnsoperatører og luftfartsselskaber skal kontrollere, at navnet på passagerens boardingkort svarer til navnet på deres identitetsdokument, og dette kan være underlagt national lovgivning. Hvis der ikke kræves verifikation af passagerernes identitet med et officielt identitetsdokument, bør der derfor ikke foretages en sådan verifikation ved hjælp af biometriske identifikatorer, da dette ville føre til en overdreven behandling af oplysninger.

I sin udtalelse overvejede Databeskyttelsesrådet, om behandlingen af passagerers biometriske data er i overensstemmelse med fire forskellige typer lagringsløsninger, lige fra dem, der kun lagrer de biometriske data i den enkeltes hænder, til dem, der er afhængige af en centraliseret lagringsarkitektur med forskellige modaliteter. I alle tilfælde bør kun biometriske oplysninger om passagerer, der aktivt tilmelder sig og giver samtykke til at deltage, behandles.

Databeskyttelsesrådet fandt, at de eneste lagringsløsninger, der kan være forenelige med integritets- og fortrolighedsprincippet, indbygget databeskyttelse og databeskyttelse gennem indstillinger og behandlingssikkerhed, er de løsninger, hvorved de biometriske data lagres i personens hænder eller i en central database, men med krypteringsnøglen alene i vedkommendes hænder. Disse lagringsløsninger er, hvis de gennemføres med en liste over anbefalede minimumsgarantier, de eneste metoder, der i tilstrækkelig grad opvejer behandlingens indgribende karakter ved at give enkeltpersoner den største kontrol. 
Databeskyttelsesrådet fandt, at de løsninger, der er baseret på lagring i en central database enten i lufthavnen eller i skyen uden krypteringsnøglerne i hænderne på den enkelte, ikke kan være forenelige med kravene til databeskyttelse gennem design og standardindstillinger og, hvis den dataansvarlige begrænser sig til de foranstaltninger, der er beskrevet i de analyserede scenarier, ikke vil opfylde kravene til behandlingssikkerhed.
Med hensyn til princippet om opbevaringsbegrænsning skal de dataansvarlige sikre, at de har en tilstrækkelig begrundelse for den planlagte opbevaringsperiode, og begrænse den til, hvad der er nødvendigt for det foreslåede formål.

Dernæst vedtog databeskyttelsesmyndighederne en rapport om arbejdet i ChatGPT-taskforcen. Denne taskforce blev oprettet af Databeskyttelsesrådet for at fremme samarbejdet mellem databeskyttelsesmyndigheder, der undersøger den chatbot, der er udviklet af OpenAI.

Rapporten indeholder foreløbige synspunkter om visse aspekter, der drøftes mellem databeskyttelsesmyndighederne, og foregriber ikke den analyse, som de enkelte databeskyttelsesmyndigheder vil foretage i deres respektive igangværende undersøgelser***.

Den analyserer flere aspekter vedrørende en fælles fortolkning af de gældende databeskyttelsesbestemmelser, der er relevante for de forskellige igangværende undersøgelser, såsom:

  • lovligheden af indsamling af uddannelsesdata ("web scraping") samt behandling af data til input, output og uddannelse af ChatGPT.
  • rimelighed: Det er OpenAI's og ikke de registreredes ansvar at sikre overholdelse af GDPR, selv når enkeltpersoner indtaster personoplysninger.
  • gennemsigtighed og datanøjagtighed: den dataansvarlige bør give korrekte oplysninger om den sandsynlighedsbaserede karakter af ChatGPT's output og udtrykkeligt henvise til, at den genererede tekst kan være partisk eller sammensat.
  • I betænkningen påpeges det, at det er bydende nødvendigt, at de registrerede kan udøve deres rettigheder effektivt.

Taskforcens medlemmer udarbejdede også et fælles spørgeskema som et muligt grundlag for deres udvekslinger med åben kunstig intelligens, der offentliggøres som bilag til rapporten.

Desuden besluttede Databeskyttelsesrådet at udarbejde retningslinjer for generativ kunstig intelligens med fokus på dataskrabning i forbindelse med AI-uddannelse som et første skridt.

Endelig vedtog Databeskyttelsesrådet en erklæring om Kommissionens "pakke om adgang til finansielle data og betalinger" (som omfatter forslagene til forordning om rammerne for adgang til finansielle data (FIDA), om forordningen om betalingstjenester (PSR) og om betalingstjenestedirektivet 3 (PSD3)).

Databeskyttelsesrådet noterer sig Europa-Parlamentets betænkninger om FIDA- og PSR-forslagene, men mener, at der med hensyn til forebyggelse og afsløring af svigagtige transaktioner bør medtages yderligere databeskyttelsesgarantier i transaktionsovervågningsmekanismen i PSR-forslaget. Det er vigtigt at sikre, at indgrebet i den grundlæggende ret til beskyttelse af de berørte personers personoplysninger er nødvendigt og står i et rimeligt forhold til målet om at forebygge betalingssvig. 
 

Bemærkning til redaktører:
* Udtalelsen har et begrænset anvendelsesområde og undersøger ikke brugen af ansigtsgenkendelse generelt, og den omfatter navnlig ikke brugen af ansigtsgenkendelse til sikkerhedsformål, grænsekontrol eller af retshåndhævende myndigheder.
** I anmodningen antages det, at behandlingen vil være baseret på den enkelte passagers samtykke. På grundlag af anmodningens begrænsede omfang undersøges retsgrundlaget og navnlig gyldigheden af samtykke til en sådan behandling imidlertid ikke i udtalelsen.

***Indtil den 15. februar 2024 havde OpenAI ikke et forretningssted i EU, og derfor fandt one-stop-shop-mekanismen (OSS) ikke anvendelse, og hver databeskyttelsesmyndighed er kompetent med hensyn til potentielle overtrædelser, der blev begået og afsluttet inden denne dato. Nationale undersøgelser af potentielle overtrædelser begået før februar 2024 vil fortsat blive drøftet i taskforcen. For overtrædelser, der fortsætter eller finder sted efter februar 2024, finder one-stop-shop-mekanismen anvendelse.

Alle dokumenter, der vedtages på Databeskyttelsesrådets plenarmøde, er underlagt den nødvendige juridiske, sproglige og formatmæssige kontrol og vil blive gjort tilgængelige på Databeskyttelsesrådets websted, når disse er afsluttet.

Den pressemeddelelse, der offentliggøres her, er automatisk oversat fra engelsk.  Databeskyttelsesrådet garanterer ikke, at oversættelsen er korrekt. Der henvises til den officielle tekst i den engelske udgave, hvis der er tvivl.