Ansiktsigenkänning på flygplatser: Individer bör ha maximal kontroll över biometriska uppgifter

24 May 2024

Bryssel den 24 maj – Under sin senaste plenarsession antog Europeiska dataskyddsstyrelsen ett yttrande om flygplatsoperatörers och flygbolags användning av teknik för ansiktsigenkänning för att effektivisera passagerarflödet på flygplatser*. Detta yttrande enligt artikel 64.2 behandlar, på begäran av den franska dataskyddsmyndigheten, en fråga med allmän giltighet och har verkan i mer än en medlemsstat.

EDPB:s ordförande Anu Talus sade: ”Fler och fler flygplatsoperatörer och flygbolag runt om i världen testar system för ansiktsigenkänning som gör det lättare för passagerarna att passera de olika kontrollpunkterna. Det är viktigt att vara medveten om att biometriska uppgifter är särskilt känsliga och att behandlingen av dem kan medföra betydande risker för enskilda personer. Ansiktsigenkänningsteknik kan leda till falska negativ, bias och diskriminering. Missbruk av biometriska uppgifter kan också få allvarliga konsekvenser, såsom identitetsbedrägeri eller personifiering. Därför uppmanar vi flygbolag och flygplatsoperatörer att välja mindre inkräktande sätt att effektivisera passagerarflödena, när så är möjligt. Europeiska dataskyddsstyrelsen anser att enskilda personer bör ha maximal kontroll över sina egna biometriska uppgifter.”

I yttrandet analyseras behandlingens förenlighet med principen om lagringsbegränsning (artikel 5.1 e i den allmänna dataskyddsförordningen), principen om integritet och konfidentialitet (artikel 5.1 f i den allmänna dataskyddsförordningen), inbyggt dataskydd och dataskydd som standard (artikel 25 i den allmänna dataskyddsförordningen) och behandlingens säkerhet (artikel 32 i den allmänna dataskyddsförordningen). Överensstämmelse med andra bestämmelser i den allmänna dataskyddsförordningen, inbegripet när det gäller behandlingens laglighet, omfattas inte av detta yttrande.**

Det finns inget enhetligt rättsligt krav i EU på att flygplatsoperatörer och flygbolag ska kontrollera att namnet på passagerarens boardingkort överensstämmer med namnet på deras identitetshandling, och detta kan omfattas av nationell lagstiftning. Om det inte krävs någon kontroll av passagerarnas identitet med en officiell identitetshandling bör därför ingen sådan kontroll med användning av biometriska uppgifter utföras, eftersom detta skulle leda till en överdriven behandling av uppgifter.

I sitt yttrande övervägde EDPB huruvida behandlingen av passagerares biometriska uppgifter var förenlig med fyra olika typer av lagringslösningar, från sådana som endast lagrar biometriska uppgifter i den enskildes händer till sådana som är beroende av en centraliserad lagringsarkitektur med olika villkor. I samtliga fall bör endast biometriska uppgifter om passagerare som aktivt registrerar sig och samtycker till att delta behandlas.

EDPB fann att de enda lagringslösningar som skulle kunna vara förenliga med principen om integritet och konfidentialitet, inbyggt dataskydd och dataskydd som standard samt säkerhet vid behandling är de lösningar genom vilka biometriska uppgifter lagras i händerna på den enskilde eller i en central databas men med krypteringsnyckeln enbart i händerna på denne. Dessa lagringslösningar är, om de genomförs med en förteckning över rekommenderade minimiskyddsåtgärder, de enda metoder som på ett adekvat sätt uppväger intrånget i behandlingen genom att ge enskilda personer största möjliga kontroll. 

Dataskyddsstyrelsen fann att de lösningar som bygger på lagring i en centraliserad databas, antingen på flygplatsen eller i molnet, utan krypteringsnycklarna i den enskildes händer, inte kan vara förenliga med kraven på inbyggt dataskydd och dataskydd som standard och, om den personuppgiftsansvarige begränsar sig till de åtgärder som beskrivs i de analyserade scenarierna, inte skulle uppfylla kraven på säkerhet vid behandling.
När det gäller principen om lagringsbegränsning måste personuppgiftsansvariga se till att de har en tillräcklig motivering för den planerade lagringsperioden och begränsa den till vad som är nödvändigt för det föreslagna syftet.

Därefter antog dataskyddsmyndigheterna en rapport om arbetet i arbetsgruppen ChatGPT . Denna arbetsgrupp inrättades av EDPB för att främja samarbete mellan dataskyddsmyndigheter som utreder den chatbot som utvecklats av OpenAI.

Rapporten innehåller preliminära synpunkter på vissa aspekter som diskuterats mellan dataskyddsmyndigheterna och föregriper inte den analys som kommer att göras av varje dataskyddsmyndighet i deras respektive pågående utredning***.

Den analyserar flera aspekter av en gemensam tolkning av de tillämpliga bestämmelserna i den allmänna dataskyddsförordningen som är relevanta för de olika pågående utredningarna, såsom

  • Lagligheten i att samla in träningsdata (”webbskrapning”) samt behandling av data för inmatning, utmatning och utbildning av ChatGPT.
  • rättvisa:  Det är OpenAI och inte de registrerade som ansvarar för att säkerställa efterlevnaden av den allmänna dataskyddsförordningen, även när enskilda personer matar in personuppgifter.
  • Transparens  och uppgifternas korrekthet: Den personuppgiftsansvarige bör tillhandahålla korrekt information om den sannolikhetsbaserade karaktären hos ChatGPT:s utdata och uttryckligen hänvisa till det faktum att den genererade texten kan vara partisk eller påhittad.
  • I betänkandet påpekas att det är absolut nödvändigt att de registrerade kan utöva sina rättigheter på ett effektivt sätt.

Arbetsgruppens medlemmar tog också fram ett gemensamt frågeformulär som en möjlig grund för sina utbyten med öppen AI, som offentliggörs som en bilaga till rapporten.

Dessutom beslutade EDPB att utarbeta riktlinjer för generativ AI, med fokus som ett första steg på dataskrapning i samband med AI-utbildning.

Slutligen antog EDPB ett uttalande om kommissionens paket om tillgång till och betalning av finansiella data (som omfattar förslagen till förordning om ramen för tillgång till finansiella data (Fida), om förordningen om betaltjänster och om betaltjänstdirektivet 3).
EDPB noterar Europaparlamentets betänkanden om förslagen från FIDA och PSR, men anser att när det gäller förebyggande och upptäckt av bedrägliga transaktioner bör ytterligare dataskyddsgarantier ingå i transaktionsövervakningsmekanismen i PSR-förslaget. Det är viktigt att se till att ingreppet i de berörda personernas grundläggande rätt till skydd av personuppgifter är nödvändigt och står i proportion till målet att förhindra betalningsbedrägeri.

 

Meddelande till redaktörer:
* Yttrandet har ett begränsat tillämpningsområde och behandlar inte användningen av ansiktsigenkänning i allmänhet och omfattar i synnerhet inte användning av ansiktsigenkänning för säkerhetsändamål, gränskontroll eller av brottsbekämpande organ.
** I begäran förutsätts att behandlingen baseras på varje passagerares samtycke. På grund av begärans begränsade omfattning undersöks emellertid inte i yttrandet den rättsliga grunden och särskilt inte giltigheten av samtycket till sådan behandling.

***Fram till den 15 februari 2024 hade OpenAI inget verksamhetsställe i EU, varför mekanismen med en enda kontaktpunkt inte var tillämplig och varje dataskyddsmyndighet är behörig när det gäller potentiella överträdelser som begicks och avslutades före det datumet. Nationella utredningar av potentiella överträdelser som begåtts före februari 2024 kommer att fortsätta att diskuteras i arbetsgruppen. För överträdelser som fortsätter eller inträffar efter februari 2024 gäller mekanismen med en enda kontaktpunkt.

Alla dokument som antas under EDPB:s plenarsammanträde är föremål för nödvändiga juridiska, språkliga och formateringsrelaterade kontroller och kommer att göras tillgängliga på EDPB:s webbplats när dessa har slutförts.

Pressmeddelandet som publiceras här har översatts automatiskt från engelska.  EDPB garanterar inte att översättningen är korrekt. Vänligen se den officiella texten i den engelska versionen om det finns några tvivel.