Kasvojentunnistus lentoasemilla: Henkilöiden olisi voitava hallita biometrisiä tietoja mahdollisimman hyvin.

24 May 2024

Bryssel 24. toukokuuta – Euroopan tietosuojaneuvosto antoi viimeisimmässä täysistunnossaan lausunnon kasvojentunnistusteknologian käytöstä lentoasemien pitäjissä ja lentoyhtiöissä matkustajavirtojen virtaviivaistamiseksi lentoasemilla*. Tässä 64 artiklan 2 kohdan mukaisessa lausunnossa käsitellään Ranskan tietosuojaviranomaisen pyynnöstä yleisesti sovellettavaa asiaa, ja sillä on vaikutuksia useammassa kuin yhdessä jäsenvaltiossa.

Euroopan tietosuojaneuvoston puheenjohtaja Anu Talus totesi seuraavaa: ”Yhä useammat lentoaseman pitäjät ja lentoyhtiöt ympäri maailmaa pilotoivat kasvojentunnistusjärjestelmiä, joiden avulla matkustajat voivat kulkea helpommin eri tarkastuspisteiden kautta. On tärkeää olla tietoinen siitä, että biometriset tiedot ovat erityisen arkaluonteisia ja että niiden käsittely voi aiheuttaa merkittäviä riskejä yksilöille. Kasvojentunnistusteknologia voi johtaa vääriin negatiivisiin tuloksiin, puolueellisuuteen ja syrjintään. Biometristen tietojen väärinkäytöllä voi myös olla vakavia seurauksia, kuten henkilöllisyyspetos tai tekeytyminen. Siksi kehotamme lentoyhtiöitä ja lentoasemien pitäjiä valitsemaan mahdollisuuksien mukaan vähemmän yksityisyyteen puuttuvia tapoja matkustajavirtojen virtaviivaistamiseksi. Tietosuojaneuvoston näkemyksen mukaan henkilöillä olisi oltava mahdollisimman suuri määräysvalta omiin biometrisiin tietoihinsa.”

Lausunnossa analysoidaan käsittelyn yhteensopivuutta säilytyksen rajoittamista koskevan periaatteen (yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan e alakohta), eheyden ja luottamuksellisuuden periaatteen (yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan f alakohta), sisäänrakennetun ja oletusarvoisen tietosuojan (yleisen tietosuoja-asetuksen 25 artikla) ja käsittelyn turvallisuuden (yleisen tietosuoja-asetuksen 32 artikla) kanssa. Muiden yleisen tietosuoja-asetuksen säännösten noudattaminen, mukaan lukien käsittelyn lainmukaisuus, ei kuulu tämän lausunnon soveltamisalaan.**

EU:ssa ei ole yhtenäistä oikeudellista vaatimusta, jonka mukaan lentoaseman pitäjien ja lentoyhtiöiden olisi varmistettava, että matkustajan tarkastuskortissa oleva nimi vastaa heidän henkilötodistuksessaan olevaa nimeä, ja tähän voidaan soveltaa kansallista lainsäädäntöä. Sen vuoksi silloin, kun matkustajien henkilöllisyyden todentaminen virallisella henkilöllisyysasiakirjalla ei ole tarpeen, tällaista todentamista biometristen tunnisteiden avulla ei pitäisi suorittaa, koska se johtaisi tietojen liialliseen käsittelyyn.

Tietosuojaneuvosto tarkasteli lausunnossaan sitä, onko matkustajien biometristen tietojen käsittelyssä noudatettu neljää erityyppistä tallennusratkaisua, jotka vaihtelevat ratkaisuista, joissa biometriset tiedot tallennetaan vain yksityishenkilöiden käsiin, ratkaisuihin, joissa käytetään keskitettyä tallennusarkkitehtuuria, jossa on erilaiset yksityiskohtaiset säännöt. Kaikissa tapauksissa olisi käsiteltävä ainoastaan sellaisten matkustajien biometrisiä tietoja, jotka ilmoittautuvat aktiivisesti ja antavat suostumuksensa osallistumiseen.

Tietosuojaneuvosto totesi, että ainoat tallennusratkaisut, jotka voisivat olla yhteensopivia eheys- ja luottamuksellisuusperiaatteen, sisäänrakennetun ja oletusarvoisen tietosuojan sekä käsittelyn turvallisuuden kanssa, ovat ratkaisut, joissa biometriset tiedot tallennetaan henkilön käsiin tai keskustietokantaan mutta salausavain on yksinomaan hänen käsissään. Nämä säilytysratkaisut, jos ne toteutetaan suositeltavien vähimmäissuojatoimien luettelon kanssa, ovat ainoat keinot, joilla voidaan asianmukaisesti tasapainottaa käsittelyn tunkeilevuutta tarjoamalla yksilöille suurin kontrolli. 
Tietosuojaneuvosto totesi, että ratkaisut, jotka perustuvat tallentamiseen keskitettyyn tietokantaan joko lentoasemalla tai pilvessä ilman, että salausavaimet ovat yksityishenkilön käsissä, eivät voi olla yhteensopivia sisäänrakennetun ja oletusarvoisen tietosuojan vaatimusten kanssa, ja jos rekisterinpitäjä rajoittuu analysoiduissa skenaarioissa kuvattuihin toimenpiteisiin, ne eivät täytä käsittelyn turvallisuutta koskevia vaatimuksia.
Säilytyksen rajoittamisen periaatteen osalta rekisterinpitäjien on varmistettava, että niillä on riittävät perustelut suunnitellulle säilytysajalle, ja rajoitettava se siihen, mikä on tarpeen ehdotettua tarkoitusta varten.

Tämän jälkeen tietosuojaviranomaiset hyväksyivät ChatGPT-työryhmän työtä koskevan kertomuksen . Tietosuojaneuvosto perusti tämän työryhmän edistämään yhteistyötä OpenAI:n kehittämää chatbottia tutkivien tietosuojaviranomaisten välillä.

Raportissa esitetään alustavia näkemyksiä tietyistä tietosuojaviranomaisten välillä keskustelluista näkökohdista, eikä se vaikuta analyysiin, jonka kukin tietosuojaviranomainen tekee meneillään olevassa tutkimuksessaan***.

Siinä analysoidaan useita näkökohtia, jotka koskevat sovellettavien yleisen tietosuoja-asetuksen säännösten yhteistä tulkintaa ja jotka ovat merkityksellisiä meneillään olevien eri tutkimusten kannalta. Näitä ovat muun muassa seuraavat:

  • koulutustietojen keräämisen (”web scraping”) sekä tietojen käsittelyn laillisuus ChatGPT:n syöttämistä, tuottamista ja koulutusta varten.
  • oikeudenmukaisuus:  Yleisen tietosuoja-asetuksen noudattamisen varmistaminen on OpenAI:n eikä rekisteröityjen vastuulla silloinkin, kun henkilöt syöttävät henkilötietoja.
  • avoimuus ja tietojen tarkkuus: rekisterinpitäjän olisi annettava asianmukaiset tiedot ChatGPT:n tuotoksen todennäköisyydestä ja viitattava nimenomaisesti siihen, että tuotettu teksti voi olla vinoutunutta tai muodostettua.
  • Mietinnössä korostetaan, että on välttämätöntä, että rekisteröidyt voivat käyttää oikeuksiaan tehokkaasti.

Työryhmän jäsenet laativat myös yhteisen kyselylomakkeen, jonka pohjalta he voivat keskustella avoimen tekoälyn kanssa ja joka julkaistaan raportin liitteenä.

Lisäksi tietosuojaneuvosto päätti laatia generatiivista tekoälyä koskevat suuntaviivat, joissa keskitytään ensimmäisenä vaiheena datan kaavintaan tekoälykoulutuksen yhteydessä.

Lopuksi tietosuojaneuvosto antoi lausuman komission rahoitustietojen saatavuutta ja maksuja koskevasta paketista (joka sisältää ehdotukset asetukseksi rahoitustietojen saatavuuden puitteista (FIDA), maksupalveluasetuksesta (PSR) ja maksupalveludirektiivistä 3 (PSD3)).

Tietosuojaneuvosto panee merkille Euroopan parlamentin mietinnöt FIDA- ja PSR-ehdotuksista, mutta katsoo, että petollisten liiketoimien ehkäisemisen ja havaitsemisen osalta PSR-ehdotuksen liiketoimien seurantamekanismiin olisi sisällytettävä lisää tietosuojatakeita. On tärkeää varmistaa, että asianomaisten henkilöiden henkilötietojen suojaa koskevaan perusoikeuteen puuttumisen taso on tarpeellinen ja oikeasuhteinen maksupetosten estämistä koskevaan tavoitteeseen nähden.

Huomautus toimittajille:
* Lausunnon soveltamisala on rajallinen, eikä siinä tarkastella kasvojentunnistuksen käyttöä yleisesti, eikä se etenkään kata kasvojentunnistuksen käyttöä turvallisuustarkoituksiin, rajavalvontaan tai lainvalvontaviranomaisten toimesta.
** Pyynnössä oletetaan, että käsittely perustuisi kunkin matkustajan suostumukseen. Pyynnön rajallisen soveltamisalan vuoksi lausunnossa ei kuitenkaan tarkastella käsittelyn oikeusperustaa eikä varsinkaan suostumuksen pätevyyttä.

***OpenAI:lla ei ollut toimipaikkaa EU:ssa 15. helmikuuta 2024 saakka, minkä vuoksi yhden luukun järjestelmää ei sovellettu, ja kullakin tietosuojaviranomaisella on toimivalta sellaisten mahdollisten rikkomusten osalta, jotka on tehty ja jotka ovat päättyneet ennen kyseistä päivämäärää. Ennen helmikuuta 2024 tehtyjä mahdollisia rikkomuksia koskevista kansallisista tutkimuksista keskustellaan edelleen työryhmässä. Rikkomuksiin, jotka jatkuvat tai ilmenevät helmikuun 2024 jälkeen, sovelletaan keskitetyn asiointipisteen mekanismia.

Kaikille Euroopan tietosuojaneuvoston täysistunnossa hyväksytyille asiakirjoille tehdään tarvittavat oikeudelliset, kielelliset ja muotoilutarkastukset, ja ne asetetaan saataville Euroopan tietosuojaneuvoston verkkosivustolle, kun ne on saatu valmiiksi.

Täällä julkaistu lehdistötiedote on käännetty automaattisesti englanniksi.  Tietosuojaneuvosto ei takaa käännöksen oikeellisuutta. Ole hyvä ja tutustu viralliseen tekstiin sen englanninkielisessä versiossa, jos siitä on epäilyksiä.