Rozpoznávanie tváre na letiskách: jednotlivci by mali mať maximálnu kontrolu nad biometrickými údajmi

24 May 2024

Brusel 24. mája – Európsky výbor pre ochranu údajov prijal na svojom poslednom plenárnom zasadnutí stanovisko k používaniu technológií rozpoznávania tváre prevádzkovateľmi letísk a leteckými spoločnosťami na zefektívnenie toku cestujúcich na letiskách*. Toto stanovisko podľa článku 64 ods. 2 sa na žiadosť francúzskeho orgánu pre ochranu údajov zaoberá záležitosťou so všeobecnou pôsobnosťou a má účinky vo viac ako jednom členskom štáte.

Predseda EDPB Anu Talus v tejto súvislosti uviedol: „Čoraz viac prevádzkovateľov letísk a leteckých spoločností na celom svete pilotuje systémy rozpoznávania tváre, ktoré cestujúcim umožňujú ľahšie prechádzať cez rôzne kontrolné stanovištia. Je dôležité si uvedomiť, že biometrické údaje sú obzvlášť citlivé a že ich spracúvanie môže pre jednotlivcov predstavovať značné riziká. Technológia rozpoznávania tváre môže viesť k falošne negatívnym výsledkom, zaujatosti a diskriminácii. Zneužívanie biometrických údajov môže mať aj vážne dôsledky, ako je podvod s osobnými údajmi alebo vydávanie sa za inú osobu. Preto vyzývame letecké spoločnosti a prevádzkovateľov letísk, aby sa rozhodli pre menej rušivé spôsoby zefektívnenia tokov cestujúcich, ak je to možné. Podľa názoru EDPB by jednotlivci mali mať maximálnu kontrolu nad svojimi vlastnými biometrickými údajmi.“

V stanovisku sa analyzuje zlučiteľnosť spracúvania so zásadou obmedzenia uchovávania [článok 5 ods. 1 písm. e) všeobecného nariadenia o ochrane údajov], zásadou integrity a dôvernosti [článok 5 ods. 1 písm. f)] všeobecného nariadenia o ochrane údajov, špecificky navrhnutou a štandardnou ochranou údajov (článok 25 všeobecného nariadenia o ochrane údajov) a bezpečnosťou spracúvania (článok 32 všeobecného nariadenia o ochrane údajov). Súlad s ostatnými ustanoveniami všeobecného nariadenia o ochrane údajov vrátane ustanovení týkajúcich sa zákonnosti spracúvania nepatrí do rozsahu pôsobnosti tohto stanoviska.**

V EÚ neexistuje jednotná právna požiadavka, aby prevádzkovatelia letísk a letecké spoločnosti overovali, či sa meno na palubnom lístku cestujúceho zhoduje s menom uvedeným v ich doklade totožnosti, čo môže podliehať vnútroštátnym právnym predpisom. Preto ak sa nevyžaduje overenie totožnosti cestujúcich úradným dokladom totožnosti, takéto overenie s použitím biometrických údajov by sa nemalo vykonávať, pretože by to viedlo k nadmernému spracúvaniu údajov.

EDPB vo svojom stanovisku zvážil súlad spracúvania biometrických údajov cestujúcich so štyrmi rôznymi typmi riešení uchovávania, od tých, ktoré uchovávajú biometrické údaje len v rukách jednotlivca, až po tie, ktoré sa opierajú o centralizovanú architektúru uchovávania s rôznymi spôsobmi. Vo všetkých prípadoch by sa mali spracúvať len biometrické údaje cestujúcich, ktorí sa aktívne zaregistrujú a súhlasia s účasťou.

EDPB zistil, že jedinými riešeniami uchovávania, ktoré by mohli byť zlučiteľné so zásadou integrity a dôvernosti, špecificky navrhnutou a štandardnou ochranou údajov a bezpečnosťou spracúvania, sú riešenia, pri ktorých sa biometrické údaje uchovávajú v rukách jednotlivca alebo v centrálnej databáze, ale so šifrovacím kľúčom výlučne v jeho rukách. Tieto riešenia ukladania, ak sú implementované so zoznamom odporúčaných minimálnych záruk, sú jedinými spôsobmi, ktoré primerane vyvažujú rušivosť spracúvania tým, že jednotlivcom poskytujú najväčšiu kontrolu. 
EDPB zistil, že riešenia založené na uchovávaní v centralizovanej databáze buď na letisku, alebo v cloude bez šifrovacích kľúčov v rukách jednotlivca nemôžu byť zlučiteľné s požiadavkami špecificky navrhnutej a štandardnej ochrany údajov, a ak sa prevádzkovateľ obmedzí na opatrenia opísané v analyzovaných scenároch, nespĺňa požiadavky na bezpečnosť spracúvania.
Pokiaľ ide o zásadu obmedzenia uchovávania, prevádzkovatelia musia zabezpečiť dostatočné odôvodnenie plánovaného obdobia uchovávania a obmedziť ho na to, čo je nevyhnutné na navrhovaný účel.

Orgány pre ochranu osobných údajov následne prijali správu o práci pracovnej skupiny ChatGPT . Túto pracovnú skupinu vytvoril EDPB na podporu spolupráce medzi orgánmi pre ochranu osobných údajov, ktoré vyšetrujú chatbot vyvinutý organizáciou OpenAI.

Správa poskytuje predbežné stanoviská k určitým aspektom, o ktorých diskutovali orgány pre ochranu osobných údajov, a nemá vplyv na analýzu, ktorú vykoná každý orgán pre ochranu osobných údajov v rámci svojho príslušného prebiehajúceho vyšetrovania***.

Analyzuje sa v nej niekoľko aspektov týkajúcich sa spoločného výkladu uplatniteľných ustanovení všeobecného nariadenia o ochrane údajov, ktoré sú relevantné pre rôzne prebiehajúce vyšetrovania, ako napríklad:

zákonnosť zhromažďovania trénovacích  údajov („web scraping“), ako aj spracúvanie údajov na vstup, výstup a trénovanie ChatGPT.

  • spravodlivosť: zabezpečenie súladu so všeobecným nariadením o ochrane údajov je zodpovednosťou OpenAI, a nie dotknutých osôb, a to aj vtedy, keď jednotlivci vkladajú osobné údaje.
  • transparentnosť a presnosť údajov: prevádzkovateľ by mal poskytnúť náležité informácie o pravdepodobnostnej povahe výstupu ChatGPT a výslovne uviesť skutočnosť, že vygenerovaný text môže byť zaujatý alebo vytvorený.
  • V správe sa poukazuje na to, že je nevyhnutné, aby dotknuté osoby mohli účinne uplatňovať svoje práva.

Členovia pracovnej skupiny vypracovali aj spoločný dotazník ako možný základ pre svoje výmeny s otvorenou umelou inteligenciou, ktorý sa uverejňuje ako príloha k správe.

EDPB sa okrem toho rozhodol vypracovať usmernenia o generatívnej umelej inteligencii, pričom sa ako prvý krok zameral na získavanie údajov v kontexte odbornej prípravy v oblasti umelej inteligencie.

EDPB napokon prijal vyhlásenie k balíku Komisie o prístupe k finančným údajom a platbách [ktorý zahŕňa návrhy nariadenia o rámci pre prístup k finančným údajom (FIDA), nariadenia o platobných službách (PSR) a smernice o platobných službách (PSD3)].
 

EDPB berie na vedomie správy Európskeho parlamentu o návrhoch FIDA a PSR, ale domnieva sa, že pokiaľ ide o predchádzanie podvodným transakciám a ich odhaľovanie, do mechanizmu monitorovania transakcií v návrhu PSR by sa mali zahrnúť dodatočné záruky ochrany údajov. Je dôležité zabezpečiť, aby úroveň zasahovania do základného práva dotknutých osôb na ochranu osobných údajov bola nevyhnutná a primeraná cieľu predchádzať platobným podvodom.

Poznámka pre redaktorov:
* Stanovisko má obmedzený rozsah pôsobnosti a neskúma používanie rozpoznávania tváre vo všeobecnosti, a najmä sa nevzťahuje na používanie rozpoznávania tváre na bezpečnostné účely, kontrolu hraníc alebo orgánmi presadzovania práva.
** V žiadosti sa predpokladá, že spracovanie by bolo založené na súhlase každého cestujúceho. Vzhľadom na obmedzený rozsah žiadosti sa však v stanovisku neskúma právny základ, a najmä platnosť súhlasu s takýmto spracúvaním.

***Do 15. februára 2024 OpenAI nemala v EÚ prevádzkareň, a preto sa mechanizmus jednotného kontaktného miesta neuplatňoval a každý orgán pre ochranu osobných údajov má právomoc v súvislosti s potenciálnymi porušeniami, ku ktorým došlo a ktoré sa skončili pred uvedeným dátumom. O vnútroštátnych vyšetrovaniach týkajúcich sa možných porušení, ku ktorým došlo pred februárom 2024, sa bude naďalej diskutovať v pracovnej skupine. V prípade porušení, ktoré pokračujú alebo sa vyskytnú po februári 2024, sa uplatňuje mechanizmus jednotného kontaktného miesta.

Všetky dokumenty prijaté počas plenárneho zasadnutia EDPB podliehajú potrebným právnym, jazykovým a formátovacím kontrolám a po ich dokončení budú sprístupnené na webovom sídle EDPB.
 

Tlačová správa bola automaticky preložená z angličtiny.  EDPB nezaručuje presnosť prekladu. Ak existujú pochybnosti, pozrite si oficiálny text v jeho anglickej verzii.