Brüssel, 24. mai – Euroopa Andmekaitsenõukogu võttis oma viimasel täiskogu istungil vastu arvamuse näotuvastustehnoloogiate kasutamise kohta lennujaamade käitajate ja lennuettevõtjate poolt reisijatevoo sujuvamaks muutmiseks lennujaamades*. Käesolevas artikli 64 lõike 2 kohases arvamuses, mis on koostatud Prantsusmaa andmekaitseasutuse taotlusel, käsitletakse üldkohaldatavat küsimust ja sellel on mõju rohkem kui ühes liikmesriigis.
Euroopa Andmekaitsenõukogu eesistuja Anu Talus ütles: „Üha enam lennujaamade käitajaid ja lennuettevõtjaid kogu maailmas katsetavad näotuvastussüsteeme, mis võimaldavad reisijatel lihtsamalt läbida erinevaid kontrollpunkte. Oluline on olla teadlik sellest, et biomeetrilised andmed on eriti tundlikud ja et nende töötlemine võib tekitada üksikisikutele märkimisväärseid riske. Näotuvastustehnoloogia võib põhjustada valenegatiivseid tulemusi, kallutatust ja diskrimineerimist. Biomeetriliste andmete väärkasutamisel võivad olla ka rasked tagajärjed, näiteks identiteedipettus või kehastamine. Seetõttu kutsume lennuettevõtjaid ja lennujaamade käitajaid tungivalt üles valima võimaluse korral vähem sekkuvaid viise reisijatevoogude sujuvamaks muutmiseks. Euroopa Andmekaitsenõukogu arvates peaks üksikisikutel olema maksimaalne kontroll oma biomeetriliste andmete üle.“
Arvamuses analüüsitakse töötlemise vastavust säilitamise piiramise põhimõttele (isikuandmete kaitse üldmääruse artikli 5 lõike 1 punkt e), terviklikkuse ja konfidentsiaalsuse põhimõttele (isikuandmete kaitse üldmääruse artikli 5 lõike 1 punkt f), lõimitud andmekaitsele ja vaikimisi andmekaitsele (isikuandmete kaitse üldmääruse artikkel 25) ning töötlemise turvalisusele (isikuandmete kaitse üldmääruse artikkel 32). Vastavus muudele isikuandmete kaitse üldmääruse sätetele, sealhulgas töötlemise seaduslikkuse kohta, ei kuulu käesoleva arvamuse kohaldamisalasse**.
ELis puudub ühtne õiguslik nõue, mille kohaselt lennujaama käitajad ja lennuettevõtjad peavad kontrollima, kas reisija pardakaardil olev nimi vastab tema isikut tõendaval dokumendil olevale nimele, ning selle suhtes võidakse kohaldada siseriiklikke õigusakte. Seega, kui reisijate isikusamasuse kontrollimist ametliku isikut tõendava dokumendiga ei nõuta, ei tohiks sellist kontrollimist teha biomeetriliste andmete abil, kuna see tooks kaasa andmete ülemäärase töötlemise.
Euroopa Andmekaitsenõukogu kaalus oma arvamuses reisijate biomeetriliste andmete töötlemise vastavust nelja eri liiki säilitamislahendustele, alates lahendustest, mis säilitavad biomeetrilisi andmeid ainult üksikisiku käes, kuni lahendusteni, mis tuginevad erineval viisil tsentraliseeritud säilitamisarhitektuurile. Kõigil juhtudel tuleks töödelda ainult nende reisijate biomeetrilisi andmeid, kes registreeruvad aktiivselt ja nõustuvad osalema.
Euroopa Andmekaitsenõukogu leidis, et ainsad salvestuslahendused, mis võiksid olla kooskõlas tervikluse ja konfidentsiaalsuse põhimõttega, lõimitud andmekaitse ja vaikimisi andmekaitsega ning töötlemise turvalisusega, on lahendused, mille puhul biomeetrilisi andmeid säilitatakse üksikisiku käes või keskandmebaasis, kuid krüpteerimisvõti on ainult nende käes. Need säilitamislahendused, kui neid rakendatakse koos soovitatavate minimaalsete kaitsemeetmete loeteluga, on ainsad meetodid, mis piisavalt tasakaalustavad töötlemise sekkuvust, pakkudes üksikisikutele suurimat kontrolli.
Euroopa Andmekaitsenõukogu leidis, et lahendused, mis põhinevad säilitamisel keskses andmebaasis kas lennujaamas või pilves ilma üksikisiku käes olevate krüpteerimisvõtmeteta, ei saa olla kooskõlas lõimitud andmekaitse ja vaikimisi andmekaitse nõuetega ning kui vastutav töötleja piirduks analüüsitud stsenaariumides kirjeldatud meetmetega, ei vastaks need töötlemise turvalisuse nõuetele.
Säilitamise piiramise põhimõttega seoses peavad vastutavad töötlejad tagama, et neil on kavandatud säilitamisaja kohta piisav põhjendus, ja piirduma sellega, mis on kavandatud eesmärgi saavutamiseks vajalik.
Seejärel võtsid andmekaitseasutused vastu aruande ChatGPT töörühma töö kohta. Selle rakkerühma lõi Euroopa Andmekaitsenõukogu, et edendada koostööd andmekaitseasutuste vahel, kes uurivad OpenAI välja töötatud juturobotit.
Aruandes esitatakse esialgsed seisukohad andmekaitseasutuste vahel arutatud teatavate aspektide kohta ning see ei mõjuta analüüsi, mille iga andmekaitseasutus teeb oma vastavas käimasolevas uurimises***.
Selles analüüsitakse mitut kohaldatavate isikuandmete kaitse üldmääruse sätete ühtse tõlgendamisega seotud aspekti, mis on olulised mitmesuguste käimasolevate uurimiste seisukohast, näiteks:
- koolitusandmete kogumise (veebi kraapimine) seaduslikkus ning andmete töötlemine ChatGPT sisendiks, väljundiks ja koolituseks.
- õiglus: isikuandmete kaitse üldmääruse järgimise tagamine on OpenAI, mitte andmesubjektide ülesanne, isegi kui üksikisikud sisestavad isikuandmeid.
- läbipaistvus ja andmete täpsus: vastutav töötleja peaks andma nõuetekohast teavet ChatGPT väljundi tõenäosusliku olemuse kohta ja osutama sõnaselgelt asjaolule, et loodud tekst võib olla kallutatud või koostatud.
- Raportis juhitakse tähelepanu sellele, et on hädavajalik, et andmesubjektid saaksid oma õigusi tõhusalt kasutada.
Rakkerühma liikmed töötasid avatud tehisintellektiga toimuva teabevahetuse võimaliku alusena välja ka ühise küsimustiku, mis avaldatakse aruande lisana.
Lisaks otsustas Euroopa Andmekaitsenõukogu töötada välja suunised Generatiivse tehisintellekti kohta, keskendudes esimese sammuna andmete kraapimisele tehisintellektialase koolituse kontekstis.
Lõpuks võttis Euroopa Andmekaitsenõukogu vastu avalduse komisjoni finantsandmetele juurdepääsu ja maksete paketi kohta (mis sisaldab ettepanekuid finantsandmetele juurdepääsu raamistiku määruse, makseteenuste määruse ja kolmanda makseteenuste direktiivi kohta).
Euroopa Andmekaitsenõukogu võtab teadmiseks Euroopa Parlamendi aruanded FIDA ja PSRi ettepanekute kohta, kuid on seisukohal, et seoses petturlike tehingute ennetamise ja avastamisega tuleks PSRi ettepaneku tehingute järelevalvemehhanismi lisada täiendavad andmekaitsemeetmed. Oluline on tagada, et asjaomaste isikute isikuandmete kaitse põhiõiguse riive oleks vajalik ja proportsionaalne eesmärgiga ennetada maksepettusi.
Märkus toimetajatele:
* Arvamuse kohaldamisala on piiratud ja selles ei käsitleta näotuvastuse kasutamist üldiselt ning eelkõige ei käsitleta näotuvastuse kasutamist julgeoleku, piirikontrolli või õiguskaitseasutuste poolt.
** Taotluses eeldatakse, et töötlemine põhineb iga reisija nõusolekul. Taotluse piiratud ulatuse tõttu ei analüüsita arvamuses siiski õiguslikku alust ja eelkõige selliseks töötlemiseks antud nõusoleku kehtivust.
***Kuni 15. veebruarini 2024 ei olnud OpenAI-l ELis tegevuskohta, mistõttu ei kohaldatud ühtse kontaktpunkti mehhanismi ja iga andmekaitseasutus on pädev tegelema võimalike rikkumistega, mis pandi toime ja lõppesid enne seda kuupäeva. Rakkerühmas jätkatakse enne 2024. aasta veebruari toime pandud võimalikke rikkumisi käsitlevate riiklike uurimiste arutamist. Rikkumiste suhtes, mis jätkuvad või leiavad aset pärast 2024. aasta veebruari, kohaldatakse ühtse kontaktpunkti mehhanismi.
Kõigi Euroopa Andmekaitsenõukogu täiskogu istungil vastu võetud dokumentide suhtes kohaldatakse vajalikke õiguslikke, keelelisi ja vorminduskontrolle ning need tehakse pärast valmimist kättesaadavaks Euroopa Andmekaitsenõukogu veebisaidil.
Siin avaldatud pressiteade on automaatselt tõlgitud inglise keelest. Euroopa Andmekaitsenõukogu ei taga tõlke õigsust. Kahtluse korral vaadake ingliskeelset ametlikku teksti.