Bruselj, 24. maja – Evropski odbor za varstvo podatkov (EOVP) je na zadnjem plenarnem zasedanju sprejel Mnenje o uporabi tehnologij za prepoznavanje obrazov s strani upravljavcev letališč in letalskih družb za olajšanje pretoka potnikov na letališčih*. To mnenje na podlagi drugega odstavka 64. člena na zahtevo francoskega organa za varstvo podatkov obravnava zadevo splošne uporabe in ima učinke v več kot eni državi članici.
Predsednica EOVP Anu Talus je povedala: „Vse več upravljavcev letališč in letalskih družb po vsem svetu preizkuša sisteme za prepoznavanje obrazov, ki potnikom omogočajo lažji prehod skozi različne kontrolne točke. Zavedati se je treba, da so biometrični podatki še posebej občutljivi in da lahko njihova obdelava povzroči znatna tveganja za posameznike. Tehnologija prepoznavanja obraza lahko privede do lažnih negativnih rezultatov, pristranskosti in diskriminacije. Zloraba biometričnih podatkov ima lahko tudi hude posledice, kot je zloraba identitete ali izdajanje za drugo osebo. Zato letalske družbe in upravljavce letališč pozivamo, naj se odločijo za manj vsiljive načine za olajšanje pretoka potnikov, kadar je to mogoče. Po mnenju EOVP bi morali imeti posamezniki kar največji nadzor nad svojimi biometričnimi podatki.“
Mnenje analizira združljivost obdelave z načelom omejitve shranjevanja (točka (e) prvega odstavka 5. člena Splošne uredbe o varstvu podatkov), načelom celovitosti in zaupnosti (točka (f) prvega odstavka 5. člena Splošne uredbe o varstvu podatkov), vgrajenim in privzetim varstvom podatkov (25. člen Splošne uredbe o varstvu podatkov) ter varnostjo obdelave (32. člen Splošne uredbe o varstvu podatkov). Skladnost z drugimi določbami Splošne uredbe o varstvu podatkov, tudi v zvezi z zakonitostjo obdelave, ne spada na področje obravnave tega mnenja.**
V EU ni enotne pravne zahteve, v skladu s katero bi morali upravljavci letališč in letalske družbe preveriti, ali se ime na vstopnem kuponu potnika ujema z imenom na njegovem osebnem dokumentu, kar je lahko predmet nacionalne zakonodaje. Kadar torej preverjanje identitete potnikov z uradnim osebnim dokumentom ni potrebno, se tako preverjanje z uporabo biometričnih podatkov ne bi smelo izvajati, saj bi to povzročilo pretirano obdelavo podatkov.
EOVP je v svojem mnenju obravnaval skladnost obdelave biometričnih podatkov potnikov s štirimi različnimi vrstami rešitev za shranjevanje, od tistih, ki biometrične podatke shranjujejo samo v rokah posameznika, do tistih, ki temeljijo na centralizirani arhitekturi za shranjevanje z različnimi načini. V vseh primerih bi bilo treba obdelovati samo biometrične podatke potnikov, ki se aktivno vpišejo in privolijo v sodelovanje.
EOVP je ugotovil, da so edine rešitve za shranjevanje, ki bi lahko bile združljive z načelom celovitosti in zaupnosti, vgrajenim in privzetim varstvom podatkov ter varnostjo obdelave, tiste rešitve, pri katerih so biometrični podatki shranjeni v rokah posameznika ali v osrednji podatkovni zbirki, vendar s šifrirnim ključem izključno v njihovih rokah. Te rešitve za shranjevanje, če se izvajajo s seznamom priporočenih minimalnih zaščitnih ukrepov, so edini načini, ki ustrezno izravnajo vsiljivost obdelave, tako da posameznikom zagotavljajo največji nadzor.
EOVP je ugotovil, da rešitve, ki temeljijo na shranjevanju v centralizirani podatkovni zbirki na letališču ali v oblaku brez šifrirnih ključev v rokah posameznika, ne morejo biti združljive z zahtevami glede vgrajenega in privzetega varstva podatkov ter ne bi izpolnjevale zahtev glede varnosti obdelave, če se upravljavec omeji na ukrepe, opisane v analiziranih scenarijih.
Kar zadeva načelo omejitve hrambe, morajo upravljavci zagotoviti, da imajo zadostno utemeljitev za predvideno obdobje hrambe in ga omejiti na to, kar je potrebno za predlagani namen.
Nato so organi za varstvo podatkov sprejeli poročilo o delu delovne skupine ChatGPT . To delovno skupino je EOVP ustanovil, da bi spodbujal sodelovanje med organi za varstvo podatkov, ki preiskujejo klepetalni robot, ki ga je razvil OpenAI.
Poročilo vsebuje predhodna stališča o nekaterih vidikih, o katerih so razpravljali organi za varstvo podatkov in ne posega v analizo, ki jo bo vsak organ za varstvo podatkov opravil v svoji preiskavi v teku***.
V njem je analiziranih več vidikov v zvezi s skupno razlago veljavnih določb Splošne uredbe o varstvu podatkov, pomembnih za različne preiskave v teku, kot so:
- zakonitost zbiranja učnih podatkov („strganje spletnih strani“) ter obdelave podatkov za vnos, iznos in usposabljanje ChatGPT;
- poštenost: zagotavljanje skladnosti s Splošno uredbo o varstvu podatkov je odgovornost OpenAI in ne posameznikov, na katere se nanašajo osebni podatki, tudi kadar posamezniki vnesejo osebne podatke;
- preglednost in točnost podatkov: upravljavec bi moral zagotoviti ustrezne informacije o verjetnostni naravi izhodnih podatkov ChatGPT in se izrecno sklicevati na dejstvo, da je lahko ustvarjeno besedilo pristransko ali izmišljeno;
- Poročilo poudarja, da je nujno, da lahko posamezniki, na katere se nanašajo osebni podatki, učinkovito uveljavljajo svoje pravice.
Člani projektne skupine so pripravili tudi skupni vprašalnik kot možno podlago za izmenjavo mnenj z OpenAI, ki je objavljen kot priloga k poročilu.
Poleg tega se je EOVP odločil, da bo pripravil smernice o generativni umetni inteligenci, pri čemer se bo kot prvi korak osredotočil na pridobivanje podatkov v okviru usposabljanja na področju umetne inteligence.
EOVP je sprejel tudi izjavo o svežnju Komisije o dostopu do finančnih podatkov in plačilih (ki vključuje predloge za uredbo o okviru za dostop do finančnih podatkov (FIDA), uredbo o plačilnih storitvah (PSR) in direktivo o plačilnih storitvah 3 (PSD3)).
EOVP je seznanjen s poročili Evropskega parlamenta o predlogih FIDA in PSR, vendar meni, da bi bilo treba v zvezi s preprečevanjem in odkrivanjem goljufivih transakcij v mehanizem za spremljanje transakcij iz predloga PSR vključiti dodatne zaščitne ukrepe za varstvo podatkov. Pomembno je zagotoviti, da je raven poseganja v temeljno pravico zadevnih oseb do varstva osebnih podatkov potrebna in sorazmerna s ciljem preprečevanja plačilnih goljufij.
Opomba urednikom:
* Mnenje ima omejeno področje uporabe in ne obravnava uporabe prepoznavanja obrazov na splošno, zlasti pa ne zajema uporabe prepoznavanja obrazov za varnostne namene, mejne kontrole ali s strani organov kazenskega pregona.
** V zahtevi se predpostavlja, da bi obdelava temeljila na privolitvi vsakega potnika. Vendar zaradi omejenega obsega zahteve v mnenju ni preučena pravna podlaga in zlasti veljavnost privolitve v tako obdelavo.
***Do 15. februarja 2024 OpenAI ni imel poslovne enote v EU, zato se mehanizem „vse na enem mestu“ ni uporabljal, vsak organ za varstvo podatkov pa je pristojen za morebitne kršitve, ki so bile storjene in so se končale pred navedenim datumom. Delovna skupina bo še naprej razpravljala o nacionalnih preiskavah v zvezi z morebitnimi kršitvami, storjenimi pred februarjem 2024. Za kršitve, ki se nadaljujejo ali do katerih pride po februarju 2024, se uporablja mehanizem „vse na enem mestu“.
Vsi dokumenti, sprejeti na plenarnem zasedanju EOVP, so predmet potrebnih pravnih, jezikovnih in oblikovnih pregledov ter bodo na voljo na spletišču EOVP, ko bodo dokončani.