Prepoznavanje lica u zračnim lukama: pojedinci bi trebali imati najveću moguću kontrolu nad biometrijskim podacima

24 May 2024

Bruxelles, 24. svibnja – Europski odbor za zaštitu podataka na svojoj je posljednjoj plenarnoj sjednici donio mišljenje o upotrebi tehnologija za prepoznavanje lica od strane operatora zračnih luka i zračnih prijevoznika kako bi se pojednostavnio protok putnika u zračnim lukama*. Ovo mišljenje u skladu s člankom 64. stavkom 2., na zahtjev francuskog tijela za zaštitu podataka, odnosi se na pitanje opće primjene i proizvodi učinke u više država članica.

Predsjednik Europskog odbora za zaštitu podataka Anu Talus izjavio je: „Sve više operatora zračnih luka i zračnih prijevoznika diljem svijeta upravlja sustavima za prepoznavanje lica koji putnicima omogućuju da lakše prolaze kroz različite kontrolne točke. Važno je biti svjestan da su biometrijski podaci posebno osjetljivi i da njihova obrada može stvoriti znatne rizike za pojedince. Tehnologija prepoznavanja lica može dovesti do lažno negativnih učinaka, pristranosti i diskriminacije. Zlouporaba biometrijskih podataka može imati i ozbiljne posljedice, kao što su prijevara povezana s identitetom ili lažno predstavljanje. Stoga pozivamo zračne prijevoznike i operatore zračnih luka da se odluče za manje nametljive načine za pojednostavnjenje protoka putnika, kada je to moguće. Europski odbor za zaštitu podataka smatra da bi pojedinci trebali imati maksimalnu kontrolu nad vlastitim biometrijskim podacima.”

U Mišljenju se analizira usklađenost obrade s načelom ograničenja pohrane (članak 5. stavak 1. točka (e) Opće uredbe o zaštiti podataka), načelom cjelovitosti i povjerljivosti (članak 5. stavak 1. točka (f) Opće uredbe o zaštiti podataka), tehničkom i integriranom zaštitom podataka (članak 25. Opće uredbe o zaštiti podataka) i sigurnošću obrade (članak 32. Opće uredbe o zaštiti podataka). Usklađenost s drugim odredbama Opće uredbe o zaštiti podataka, među ostalim u pogledu zakonitosti obrade, nije obuhvaćena ovim mišljenjem.**

U EU-u ne postoji jedinstvena pravna obveza za operatore zračnih luka i zračne prijevoznike da provjere odgovara li ime na ukrcajnoj propusnici putnika imenu na njihovoj identifikacijskoj ispravi i to može biti podložno nacionalnim zakonima. Stoga, ako nije potrebna provjera identiteta putnika službenom identifikacijskom ispravom, takva provjera s pomoću biometrijskih podataka ne bi se trebala provoditi jer bi to dovelo do prekomjerne obrade podataka.

EDPB je u svojem mišljenju razmotrio usklađenost obrade biometrijskih podataka putnika s četirima različitim vrstama rješenja za pohranu, od onih kojima se biometrijski podaci pohranjuju samo u rukama pojedinca do onih koja se oslanjaju na centraliziranu arhitekturu pohrane s različitim modalitetima. U svim slučajevima trebalo bi obrađivati samo biometrijske podatke putnika koji se aktivno upisuju i pristaju na sudjelovanje.

Europski odbor za zaštitu podataka utvrdio je da su jedina rješenja za pohranu koja bi mogla biti kompatibilna s načelom cjelovitosti i povjerljivosti, integriranom i zadanom zaštitom podataka te sigurnošću obrade rješenja kojima se biometrijski podaci pohranjuju u rukama pojedinca ili u središnjoj bazi podataka, ali s ključem za šifriranje isključivo u njihovim rukama. Ta rješenja za pohranu, ako se provode s popisom preporučenih minimalnih zaštitnih mjera, jedini su načini kojima se na odgovarajući način kompenzira intruzivnost obrade tako što se pojedincima pruža najveća kontrola. 
Europski odbor za zaštitu podataka utvrdio je da rješenja koja se temelje na pohrani u centraliziranoj bazi podataka unutar zračne luke ili u oblaku, bez ključeva za šifriranje u rukama pojedinca, ne mogu biti kompatibilna sa zahtjevima tehničke i integrirane zaštite podataka i, ako se voditelj obrade ograniči na mjere opisane u analiziranim scenarijima, ne bi bila u skladu sa zahtjevima sigurnosti obrade.
Kad je riječ o načelu ograničenja pohrane, voditelji obrade moraju osigurati da imaju dostatno obrazloženje za predviđeno razdoblje čuvanja i ograničiti ga na ono što je nužno za predloženu svrhu.

Nadalje, tijela za zaštitu podataka usvojila su izvješće o radu radne skupine ChatGPT. Ovu je radnu skupinu osnovao Europski odbor za zaštitu podataka radi promicanja suradnje među tijelima za zaštitu podataka koja istražuju chatbot koji je razvio OpenAI.

U izvješću se iznose preliminarna stajališta o određenim aspektima o kojima su raspravljala tijela za zaštitu podataka i ne prejudicira se analiza koju će svako tijelo za zaštitu podataka provesti u svojoj istrazi koja je u tijeku***.

U njemu se analizira nekoliko aspekata koji se odnose na zajedničko tumačenje primjenjivih odredbi Opće uredbe o zaštiti podataka relevantnih za različite istrage koje su u tijeku, kao što su:

  • zakonitosti prikupljanja podataka za obuku ("web scraping"), kao i obrade podataka za unos, izlaz i obuku ChatGPT-a.
  • pravednost: osiguravanje usklađenosti s Općom uredbom o zaštiti podataka odgovornost je OpenAI-ja, a ne ispitanika, čak i kada pojedinci unose osobne podatke.
  • transparentnost i točnost podataka: voditelj obrade trebao bi pružiti odgovarajuće informacije o vjerojatnosti izlaznih podataka ChatGPT-a i izričito uputiti na činjenicu da generirani tekst može biti pristran ili sastavljen.
  • U izvješću se ističe da je nužno da ispitanici mogu učinkovito ostvarivati svoja prava.

Članovi radne skupine izradili su i zajednički upitnik kao moguću osnovu za razmjenu mišljenja s otvorenom umjetnom inteligencijom, koji se objavljuje kao prilog izvješću.

Nadalje, Europski odbor za zaštitu podataka odlučio je izraditi smjernice o generativnoj umjetnoj inteligenciji, usredotočujući se kao prvi korak na struganje podataka u kontekstu osposobljavanja u području umjetne inteligencije.

Naposljetku, Europski odbor za zaštitu podataka donio je izjavu o Komisijinu „paketu o pristupu financijskim podacima i plaćanjima” (koji uključuje prijedloge Uredbe o okviru za pristup financijskim podacima (FIDA), Uredbe o platnim uslugama (PSR) i Direktive o platnim uslugama 3 (PSD3)).
EDPB prima na znanje izvješća Europskog parlamenta o prijedlozima FIDA-e i PSR-a, ali smatra da bi u pogledu sprečavanja i otkrivanja prijevarnih transakcija u mehanizam praćenja transakcija iz Prijedloga o PSR-u trebalo uključiti dodatne mjere za zaštitu podataka. Važno je osigurati da je razina zadiranja u temeljno pravo na zaštitu osobnih podataka dotičnih osoba nužna i proporcionalna cilju sprečavanja prijevara u platnom prometu. 
 

Napomena urednicima:
* Mišljenje ima ograničeno područje primjene i njime se ne ispituje upotreba prepoznavanja lica općenito, a posebno se ne obuhvaća upotreba prepoznavanja lica u sigurnosne svrhe, granična kontrola ili upotreba od strane tijela kaznenog progona.
** U zahtjevu se pretpostavlja da će se obrada temeljiti na privoli svakog putnika. Međutim, na temelju ograničenog opsega zahtjeva, u mišljenju se ne ispituje pravna osnova, a osobito valjanost privole za takvu obradu.

***Do 15. veljače 2024. OpenAI nije imao poslovni nastan u EU-u, stoga se nije primjenjivao mehanizam „sve na jednom mjestu” te je svako tijelo za zaštitu podataka nadležno za moguće povrede koje su počinjene i okončane prije tog datuma. Radna skupina i dalje će raspravljati o nacionalnim istragama potencijalnih povreda počinjenih prije veljače 2024. Za povrede koje se nastavljaju ili se događaju nakon veljače 2024. primjenjuje se mehanizam jedinstvene kontaktne točke.

Svi dokumenti doneseni na plenarnoj sjednici EDPB-a podliježu potrebnim pravnim i jezičnim provjerama te provjerama formatiranja i bit će dostupni na internetskim stranicama EDPB-a nakon njihova dovršetka.
 

Priopćenje za medije objavljeno ovdje automatski je prevedeno s engleskog jezika.  Europski odbor za zaštitu podataka ne jamči točnost prijevoda. Ako postoji sumnja, pogledajte službeni tekst u verziji na engleskom jeziku.