Brussel, 24 mei — Tijdens zijn laatste plenaire vergadering heeft de EDPB een advies uitgebracht over het gebruik van gezichtsherkenningstechnologieën door luchthavenexploitanten en luchtvaartmaatschappijen om de passagiersstroom op luchthavens te stroomlijnen*. Dit advies uit hoofde van artikel 64, lid 2, heeft, op verzoek van de Franse gegevensbeschermingsautoriteit, betrekking op een aangelegenheid van algemene strekking en heeft gevolgen in meer dan één lidstaat.
EDPB-voorzitter Anu Talus zei: „Meer en meer luchthavenexploitanten en luchtvaartmaatschappijen over de hele wereld besturen gezichtsherkenningssystemen waarmee passagiers gemakkelijker door de verschillende controleposten kunnen gaan. Het is belangrijk om te beseffen dat biometrische gegevens bijzonder gevoelig zijn en dat de verwerking ervan aanzienlijke risico’s kan opleveren voor individuen. Gezichtsherkenningstechnologie kan leiden tot valse negatieven, vooroordelen en discriminatie. Misbruik van biometrische gegevens kan ook ernstige gevolgen hebben, zoals identiteitsfraude of imitatie. Daarom dringen we er bij luchtvaartmaatschappijen en luchthavenexploitanten op aan te kiezen voor minder ingrijpende manieren om de passagiersstromen waar mogelijk te stroomlijnen. Volgens het EDPB moeten personen maximale controle hebben over hun eigen biometrische gegevens.”
Het advies analyseert de verenigbaarheid van de verwerking met het beginsel van beperking van de opslag (artikel 5, lid 1, onder e), AVG), het integriteits- en vertrouwelijkheidsbeginsel (artikel 5, lid 1, onder f), AVG, gegevensbescherming door ontwerp en standaardinstellingen (artikel 25 AVG) en de beveiliging van de verwerking (artikel 32 GPDR). Naleving van andere GDPR-bepalingen, waaronder met betrekking tot de rechtmatigheid van de verwerking, vallen niet onder deze conclusie.**
Er is in de EU geen uniforme wettelijke verplichting voor luchthavenexploitanten en luchtvaartmaatschappijen om na te gaan of de naam op de instapkaart van de passagier overeenkomt met de naam op hun identiteitsdocument, en dit kan onder de nationale wetgeving vallen. Wanneer daarom geen verificatie van de identiteit van de passagiers met een officieel identiteitsdocument vereist is, mag een dergelijke verificatie met het gebruik van biometrische gegevens niet worden uitgevoerd, aangezien dit zou leiden tot een buitensporige verwerking van gegevens.
In zijn advies heeft de EDPB overwogen of de verwerking van biometrische gegevens van passagiers in overeenstemming is met vier verschillende soorten opslagoplossingen, variërend van die waarin de biometrische gegevens alleen in handen van het individu worden opgeslagen tot degenen die afhankelijk zijn van een gecentraliseerde opslagarchitectuur met verschillende modaliteiten. In alle gevallen mogen alleen de biometrische gegevens van passagiers die zich actief inschrijven en ermee instemmen, worden verwerkt.
De EDPB heeft vastgesteld dat de enige opslagoplossingen die verenigbaar kunnen zijn met het integriteits- en vertrouwelijkheidsbeginsel, gegevensbescherming door ontwerp en standaardisering en beveiliging van de verwerking, de oplossingen zijn waarbij de biometrische gegevens worden opgeslagen in de handen van de persoon of in een centrale databank, maar met de coderingssleutel uitsluitend in hun handen. Deze opslagoplossingen, indien geïmplementeerd met een lijst van aanbevolen minimumwaarborgen, zijn de enige modaliteiten die de indringerigheid van de verwerking adequaat compenseren door personen de grootste controle te bieden.
De EDPB heeft vastgesteld dat de oplossingen die gebaseerd zijn op de opslag in een gecentraliseerde databank op de luchthaven of in de cloud, zonder de encryptiesleutels in de handen van het individu, niet verenigbaar kunnen zijn met de vereisten inzake gegevensbescherming door ontwerp en standaard en, indien de verwerkingsverantwoordelijke zich beperkt tot de in de geanalyseerde scenario’s beschreven maatregelen, niet zou voldoen aan de vereisten inzake beveiliging van de verwerking.
Wat het beginsel van beperking van de opslag betreft, moeten de verwerkingsverantwoordelijken ervoor zorgen dat zij voldoende rechtvaardiging hebben voor de beoogde bewaartermijn en deze beperken tot wat nodig is voor het voorgestelde doel.
Vervolgens hebben de DPA’s een rapport aangenomen over het werk van de ChatGPT -taskforce. Deze taskforce is opgericht door de EDPB ter bevordering van de samenwerking tussen gegevensbeschermingsautoriteiten die onderzoek doen naar de door OpenAI ontwikkelde chatbot.
Het verslag bevat voorlopige standpunten over bepaalde aspecten die tussen GBA’s worden besproken en loopt niet vooruit op de analyse die elke gegevensbeschermingsautoriteit zal maken in hun respectieve lopende onderzoek***.
Het analyseert verschillende aspecten met betrekking tot de gemeenschappelijke interpretatie van de toepasselijke AVG-bepalingen die relevant zijn voor de verschillende lopende onderzoeken, zoals:
- rechtmatigheid van het verzamelen van opleidingsgegevens („web scraping”), alsmede verwerking van gegevens voor input, output en opleiding van ChatGPT.
- billijkheid: het waarborgen van de naleving van de AVG is een verantwoordelijkheid van OpenAI en niet van de betrokkenen, zelfs wanneer personen persoonsgegevens invoeren.
- transparantie en nauwkeurigheid van de gegevens: de verwerkingsverantwoordelijke moet de juiste informatie verstrekken over de probabilistische aard van de output van ChatGPT en expliciet verwijzen naar het feit dat de gegenereerde tekst bevooroordeeld of verzonnen kan zijn.
- In het verslag wordt erop gewezen dat het absoluut noodzakelijk is dat betrokkenen hun rechten doeltreffend kunnen uitoefenen.
De leden van de taskforce ontwikkelden ook een gemeenschappelijke vragenlijst als mogelijke basis voor hun uitwisselingen met Open AI, die als bijlage bij het verslag wordt gepubliceerd.
Voorts heeft het EDPB besloten richtsnoeren inzake generatieve AI te ontwikkelen, met de nadruk als eerste stap op het schrapen van gegevens in het kader van AI-opleidingen.
Tot slot heeft de EDPB een verklaring aangenomen over het „pakket voor toegang tot financiële gegevens en betalingen” van de Commissie (met inbegrip van de voorstellen voor de verordening betreffende het kader voor toegang tot financiële gegevens (FIDA), de verordening betalingsdiensten (PSR) en de richtlijn betalingsdiensten 3 (PSD3)).
De EDPB neemt nota van de verslagen van het Europees Parlement over de FIDA- en PSR-voorstellen, maar is van mening dat, met betrekking tot de preventie en opsporing van frauduleuze transacties, aanvullende gegevensbeschermingswaarborgen moeten worden opgenomen in het mechanisme voor toezicht op transacties van het PSR-voorstel. Het is belangrijk ervoor te zorgen dat het niveau van inmenging in het grondrecht op bescherming van persoonsgegevens van de betrokken personen noodzakelijk is en evenredig is met de doelstelling om betalingsfraude te voorkomen.
Opmerking voor redacteuren:
* Het advies heeft een beperkt toepassingsgebied en gaat niet in op het gebruik van gezichtsherkenning in het algemeen en in het bijzonder niet op het gebruik van gezichtsherkenning voor veiligheidsdoeleinden, grenstoezicht of door wetshandhavingsinstanties.
** In het verzoek wordt aangenomen dat de verwerking gebaseerd zou zijn op de toestemming van elke passagier. Op basis van de beperkte reikwijdte van het verzoek onderzoekt het advies echter niet de rechtsgrondslag en met name de geldigheid van de toestemming voor een dergelijke verwerking.
*** Tot 15 februari 2024 had OpenAI geen vestiging in de EU, daarom was het éénloketsysteem (OSS) niet van toepassing en is elke gegevensbeschermingsautoriteit bevoegd voor mogelijke inbreuken die vóór die datum zijn gepleegd en beëindigd. Nationale onderzoeken naar mogelijke inbreuken die vóór februari 2024 zijn gepleegd, zullen verder worden besproken in de taskforce. Voor inbreuken die na februari 2024 doorgaan of zich voordoen, is het OSS-mechanisme van toepassing.
Alle documenten die tijdens de plenaire vergadering van het EDPB zijn goedgekeurd, worden onderworpen aan de nodige juridische, taalkundige en opmaakcontroles en zullen na voltooiing ervan beschikbaar worden gesteld op de website van het EDPB.
Het hier gepubliceerde persbericht is automatisch uit het Engels vertaald. De EDPB garandeert de juistheid van de vertaling niet. Raadpleeg de officiële tekst in de Engelse versie als er enige twijfel bestaat.