Arcfelismerés a repülőtereken: az egyéneknek maximális ellenőrzést kell gyakorolniuk a biometrikus adatok felett

24 May 2024

Brüsszel, május 24. Legutóbbi plenáris ülésén az Európai Adatvédelmi Testület véleményt fogadott el az arcfelismerő technológiák repülőtér-üzemeltetők és légitársaságok általi használatáról a repülőterek utasforgalmának egyszerűsítése érdekében*. Ez a 64. cikk (2) bekezdése szerinti vélemény a francia adatvédelmi hatóság kérésére általános hatályú kérdéssel foglalkozik, és egynél több tagállamban fejt ki joghatást.

Anu Talus, az Európai Adatvédelmi Testület elnöke így nyilatkozott: „Világszerte egyre több repülőtér-üzemeltető és légitársaság vezet arcfelismerő rendszereket, amelyek lehetővé teszik az utasok számára, hogy könnyebben áthaladjanak a különböző ellenőrző pontokon. Fontos tudni, hogy a biometrikus adatok különösen érzékenyek, és feldolgozásuk jelentős kockázatot jelenthet az egyének számára. Az arcfelismerő technológia hamis negatívumokhoz, elfogultsághoz és diszkriminációhoz vezethet. A biometrikus adatokkal való visszaélés súlyos következményekkel is járhat, például személyazonossággal való visszaéléssel vagy megszemélyesítéssel. Ezért arra ösztönözzük a légitársaságokat és a repülőtér-üzemeltetőket, hogy lehetőség szerint válasszanak kevésbé tolakodó módokat az utasforgalom egyszerűsítésére. Az Európai Adatvédelmi Testület véleménye szerint az egyéneknek maximális ellenőrzést kell gyakorolniuk saját biometrikus adataik felett.”

A vélemény elemzi az adatkezelés összeegyeztethetőségét a tárolás korlátozásának elvével (az általános adatvédelmi rendelet 5. cikke (1) bekezdésének e) pontja), az integritás és a titoktartás elvével (az általános adatvédelmi rendelet 5. cikke (1) bekezdésének f) pontja), a beépített és alapértelmezett adatvédelemmel (az általános adatvédelmi rendelet 25. cikke) és az adatkezelés biztonságával (az általános adatvédelmi rendelet 32. cikke). Az általános adatvédelmi rendelet egyéb, többek között az adatkezelés jogszerűségére vonatkozó rendelkezéseinek való megfelelés nem tartozik e vélemény hatálya alá.**

Az EU-ban nincs egységes jogi követelmény a repülőtér-üzemeltetők és a légitársaságok számára annak ellenőrzésére, hogy az utas beszállókártyáján szereplő név megegyezik-e a személyazonosító okmányában szereplő névvel, és ez a nemzeti jogszabályok hatálya alá tartozhat. Ezért amennyiben nincs szükség az utasok személyazonosságának hivatalos személyazonosító okmánnyal történő ellenőrzésére, biometrikus adatok felhasználásával nem kell ilyen ellenőrzést végezni, mivel ez az adatok túlzott mértékű feldolgozását eredményezné.

Véleményében az Európai Adatvédelmi Testület megvizsgálta, hogy az utasok biometrikus adatainak kezelése megfelel-e négy különböző típusú tárolási megoldásnak, amelyek a biometrikus adatokat kizárólag az egyén kezében tároló megoldásoktól a különböző módozatokat alkalmazó, központosított tárolási architektúrára támaszkodó megoldásokig terjednek. Minden esetben csak azoknak az utasoknak a biometrikus adatait szabad feldolgozni, akik aktívan regisztrálnak és hozzájárulnak a részvételhez.

Az Európai Adatvédelmi Testület megállapította, hogy az egyetlen olyan tárolási megoldás, amely összeegyeztethető lehet az integritás és a titoktartás elvével, a beépített és alapértelmezett adatvédelemmel, valamint az adatkezelés biztonságával, azok a megoldások, amelyek révén a biometrikus adatokat az egyén kezében vagy egy központi adatbázisban tárolják, de a titkosítási kulcs kizárólag az ő kezében van. Ezek a tárolási megoldások, amennyiben azokat az ajánlott minimális biztosítékok listájával együtt hajtják végre, az egyetlen olyan módozatok, amelyek megfelelően ellensúlyozzák az adatkezelés tolakodó jellegét azáltal, hogy az egyének számára a legnagyobb ellenőrzést biztosítják. 

Az Európai Adatvédelmi Testület megállapította, hogy a központi adatbázisban akár a repülőtéren, akár a felhőben történő tároláson alapuló megoldások – anélkül, hogy a titkosítási kulcsok az egyén kezében lennének – nem egyeztethetők össze a beépített és alapértelmezett adatvédelem követelményeivel, és ha az adatkezelő az elemzett forgatókönyvekben leírt intézkedésekre korlátozza magát, nem felelnének meg az adatkezelés biztonságára vonatkozó követelményeknek.
Ami a tárolás korlátozásának elvét illeti, az adatkezelőknek biztosítaniuk kell, hogy kellően megindokolják a tervezett megőrzési időszakot, és azt a javasolt célhoz szükséges mértékre korlátozzák.

Ezt követően az adatvédelmi hatóságok jelentést fogadtak el a ChatGPT munkacsoport munkájáról. Ezt a munkacsoportot az Európai Adatvédelmi Testület hozta létre az OpenAI által kifejlesztett chatbotot vizsgáló adatvédelmi hatóságok közötti együttműködés előmozdítása érdekében.

A jelentés előzetes véleményeket tartalmaz az adatvédelmi hatóságok között megvitatott bizonyos szempontokról, és nem befolyásolja az egyes adatvédelmi hatóságok által a saját, folyamatban lévő vizsgálatuk során elvégzendő elemzést***.

Számos szempontot elemez az általános adatvédelmi rendelet alkalmazandó rendelkezéseinek közös értelmezésével kapcsolatban, amelyek a különböző folyamatban lévő vizsgálatok szempontjából relevánsak, mint például:

  • a képzési adatok gyűjtésének („webkaparás”), valamint a ChatGPT bemeneti, kimeneti és képzési adatainak feldolgozásának jogszerűsége.
  • méltányosság: az általános adatvédelmi rendeletnek való megfelelés biztosítása az OpenAI, nem pedig az érintettek felelőssége, még akkor is, ha az egyének személyes adatokat visznek be.
  • átláthatóság és  adatpontosság: az adatkezelőnek megfelelő tájékoztatást kell nyújtania a ChatGPT kimenetének valószínűségi jellegéről, és kifejezetten utalnia kell arra a tényre, hogy a generált szöveg elfogult vagy kitalált lehet.
  • A jelentés rámutat arra, hogy elengedhetetlen, hogy az érintettek hatékonyan gyakorolhassák jogaikat.

A munkacsoport tagjai közös kérdőívet is kidolgoztak a nyílt mesterséges intelligenciával folytatott eszmecserék lehetséges alapjaként, amelyet a jelentés mellékleteként tesznek közzé.

Az Európai Adatvédelmi Testület továbbá úgy határozott, hogy iránymutatásokat dolgoz ki a generatív mesterséges intelligenciára vonatkozóan, első lépésként a mesterséges intelligenciával kapcsolatos képzés keretében végzett adatkaparásra összpontosítva.

Végezetül az Európai Adatvédelmi Testület nyilatkozatot fogadott el a pénzügyi adatokhoz való hozzáférésről és a fizetési műveletekről szóló bizottsági csomagról (amely magában foglalja a pénzügyi adatokhoz való hozzáférés keretéről szóló rendeletre (FIDA), a pénzforgalmi szolgáltatásokról szóló rendeletre (PSR) és a pénzforgalmi szolgáltatásokról szóló irányelvre (PSD3) irányuló javaslatokat).
Az Európai Adatvédelmi Testület tudomásul veszi az Európai Parlament FIDA- és PSR-javaslatokról szóló jelentéseit, de úgy véli, hogy a csalárd ügyletek megelőzése és felderítése tekintetében további adatvédelmi biztosítékokat kell beépíteni a PSR-javaslat ügyletellenőrzési mechanizmusába. Fontos biztosítani, hogy az érintett személyek személyes adatainak védelméhez való alapvető jogba való beavatkozás szintje szükséges és arányos legyen a fizetési csalás megelőzésének célkitűzésével. 
 

Megjegyzés a szerkesztőknek:
* A vélemény hatálya korlátozott, és általában véve nem vizsgálja az arcfelismerés használatát, és különösen nem terjed ki az arcfelismerés biztonsági, határellenőrzési vagy bűnüldöző hatóságok általi használatára.
** A kérelem feltételezi, hogy az adatkezelés az egyes utasok hozzájárulásán alapul. A kérelem korlátozott hatálya miatt azonban a vélemény nem vizsgálja a jogalapot, és különösen az ilyen adatkezeléshez való hozzájárulás érvényességét.

***2024. február 15-ig az OpenAI nem rendelkezett telephellyel az EU-ban, ezért az egyablakos mechanizmus nem volt alkalmazandó, és minden adatvédelmi hatóság hatáskörrel rendelkezik az említett időpont előtt elkövetett és befejezett potenciális jogsértések tekintetében. A munkacsoport továbbra is megvitatja a 2024 februárja előtt elkövetett lehetséges jogsértésekkel kapcsolatos nemzeti vizsgálatokat. A 2024 februárját követően folytatódó vagy előforduló jogsértésekre az egyablakos ügyintézési mechanizmus alkalmazandó.

Az Európai Adatvédelmi Testület plenáris ülésén elfogadott valamennyi dokumentumot a szükséges jogi, nyelvi és formázási ellenőrzéseknek vetik alá, és azok befejezését követően elérhetővé teszik az Európai Adatvédelmi Testület honlapján.

 

Az itt közzétett sajtóközlemény automatikusan angolról lett lefordítva.  Az Európai Adatvédelmi Testület nem garantálja a fordítás pontosságát. Amennyiben kétség merül fel, kérjük, olvassa el az angol nyelvű hivatalos szöveget.