Брюксел, 24 май — По време на последното си пленарно заседание ЕКЗД прие становище относно използването на технологии за лицево разпознаване от летищните оператори и авиокомпаниите с цел рационализиране на пътникопотока на летищата*. По искане на френския орган за защита на данните настоящото становище по член 64, параграф 2 се отнася до въпрос с общо приложение и поражда последици в повече от една държава членка.

Председателят на ЕКЗД Ану Талус заяви: „Все повече летищни оператори и авиокомпании по света пилотират системи за лицево разпознаване, които позволяват на пътниците да преминават по-лесно през различните контролно-пропускателни пунктове. Важно е да се има предвид, че биометричните данни са особено чувствителни и че обработването им може да създаде значителни рискове за физическите лица. Технологията за разпознаване на лица може да доведе до фалшиви негативи, предубеждения и дискриминация. Злоупотребата с биометрични данни също може да има сериозни последици, като например измама с фалшива самоличност или представяне на фалшива самоличност. Поради това настоятелно призоваваме авиокомпаниите и летищните оператори да изберат по-малко натрапчиви начини за рационализиране на пътническите потоци, когато това е възможно. Според ЕКЗД физическите лица следва да имат максимален контрол върху собствените си биометрични данни.“

В становището се анализира съвместимостта на обработването с принципа на ограничаване на съхранението (член 5, параграф 1, буква д) от ОРЗД), принципа на цялостност и поверителност (член 5, параграф 1, буква е) от ОРЗД), защитата на данните на етапа на проектирането и по подразбиране (член 25 от ОРЗД) и сигурността на обработването (член 32 от ОРЗД). Спазването на други разпоредби на ОРЗД, включително по отношение на законосъобразността на обработването, не попада в обхвата на настоящото становище.**

В ЕС няма единно правно изискване летищните оператори и авиокомпаниите да проверяват дали името на бордната карта на пътника съвпада с името в техния документ за самоличност и това може да бъде предмет на националното законодателство. Поради това, когато не се изисква проверка на самоличността на пътниците с официален документ за самоличност, такава проверка с използване на биометрични данни не следва да се извършва, тъй като това би довело до прекомерно обработване на данни.

В становището си ЕКЗД разгледа съответствието на обработването на биометричните данни на пътниците с четири различни вида решения за съхранение, вариращи от такива, които съхраняват биометричните данни само в ръцете на физическото лице, до такива, които разчитат на централизирана архитектура за съхранение с различни условия. Във всички случаи следва да се обработват само биометричните данни на пътниците, които активно се регистрират и дават съгласие за участие.ЕКЗД установи, че единствените решения за съхранение, които биха могли да бъдат съвместими с принципа на цялост и поверителност, защитата на данните още при проектирането и по подразбиране, както и сигурността на обработването, са решенията, при които биометричните данни се съхраняват в ръцете на физическото лице или в централна база данни, но единствено с криптиращия ключ в ръцете му. Тези решения за съхранение, ако се прилагат със списък от препоръчителни минимални гаранции, са единствените условия, които адекватно компенсират натрапчивостта на обработването, като предлагат на физическите лица най-голям контрол.

ЕКЗД установи, че решенията, основани на съхранението в централизирана база данни в рамките на летището или в облака, без ключовете за криптиране в ръцете на физическото лице, не могат да бъдат съвместими с изискванията за защита на данните още при проектирането и по подразбиране и ако администраторът се ограничи до мерките, описани в анализираните сценарии, не би спазил изискванията за сигурност на обработването.

Що се отнася до принципа на ограничаване на съхранението, администраторите трябва да гарантират, че разполагат с достатъчна обосновка за предвидения срок на съхранение и да го ограничат до необходимото за предложената цел.

След това ОЗД приеха доклад относно работата на работната група на ChatGPT. Тази работна група е създадена от ЕКЗД с цел насърчаване на сътрудничеството между ОЗД, разследващи чатбота, разработен от OpenAI.

Докладът предоставя предварителни становища по някои аспекти, обсъждани между ОЗД, и не предопределя анализа, който ще бъде направен от всеки ОЗД в съответното текущо разследване***.

В него се анализират няколко аспекта, свързани с общото тълкуване на приложимите разпоредби на ОРЗД, които са от значение за различните текущи разследвания, като например:

• законосъобразността на събирането на данни за обучение („извличане на данни от интернет“), както и обработването на данни за въвеждане, извеждане и обучение на ChatGPT.
• справедливост: гарантирането на спазването на ОРЗД е отговорност на OpenAI, а не на субектите на данни, дори когато физическите лица въвеждат лични данни.
• прозрачност и точност на данните: администраторът следва да предостави подходяща информация относно вероятностния характер на резултатите от ChatGPT и да се позове изрично на факта, че генерираният текст може да е пристрастен или съставен.
• В доклада се посочва, че е наложително субектите на данни да могат да упражняват ефективно правата си.

Членовете на работната група също така разработиха общ въпросник като възможна основа за техния обмен с отворения ИИ, който е публикуван като приложение към доклада.

Освен това ЕКЗД реши да разработи насоки относно генеративния ИИ, като се съсредоточи като първа стъпка върху извличането на данни в контекста на обучението в областта на ИИ.

И накрая, ЕКЗД прие изявление относно пакета на Комисията за достъп до финансови данни и плащания (който включва предложенията за Регламента относно рамката за достъп до финансови данни (FIDA), Регламента за платежните услуги (PSR) и Директивата за платежните услуги 3 (PSD3).

ЕКЗД взема под внимание докладите на Европейския парламент относно предложенията за FIDA и PSR, но счита, че по отношение на предотвратяването и разкриването на измамни сделки в механизма за наблюдение на сделките в предложението за PSR следва да бъдат включени допълнителни гаранции за защита на данните. Важно е да се гарантира, че степента на намеса в основното право на защита на личните данни на засегнатите лица е необходима и пропорционална на целта за предотвратяване на измамите с плащания.