Briuselis, gegužės 24 d. paskutiniame plenariniame posėdyje EDAV priėmė nuomonę dėl oro uostų valdytojų ir oro transporto bendrovių veido atpažinimo technologijų naudojimo siekiant supaprastinti keleivių srautą oro uostuose*. Ši nuomonė pagal 64 straipsnio 2 dalį, gavus Prancūzijos duomenų apsaugos institucijos prašymą, susijusi su visuotinai taikomu klausimu ir turi poveikį daugiau nei vienoje valstybėje narėje.
EDAV pirmininkas Anu Talus sakė: „Vis daugiau oro uostų operatorių ir oro transporto bendrovių visame pasaulyje bando veido atpažinimo sistemas, kad keleiviai galėtų lengviau patekti per įvairius kontrolės punktus. Svarbu žinoti, kad biometriniai duomenys yra ypač jautrūs ir kad jų tvarkymas gali kelti didelį pavojų asmenims. Veido atpažinimo technologija gali sukelti klaidingus negatyvus, šališkumą ir diskriminaciją. Netinkamas biometrinių duomenų naudojimas taip pat gali turėti sunkių pasekmių, pavyzdžiui, tapatybės klastojimo ar apsimetimo. Todėl raginame oro transporto bendroves ir oro uostų operatorius, kai įmanoma, pasirinkti mažiau intervencinius būdus keleivių srautams supaprastinti. EDAV nuomone, asmenys turėtų kuo labiau kontroliuoti savo biometrinius duomenis.“
Nuomonėje nagrinėjamas duomenų tvarkymo suderinamumas su duomenų saugojimo apribojimo principu (BDAR 5 straipsnio 1 dalies e punktas), vientisumo ir konfidencialumo principu (BDAR 5 straipsnio 1 dalies f punktas), pritaikyta ir standartizuota duomenų apsauga (BDAR 25 straipsnis) ir duomenų tvarkymo saugumu (BDR 32 straipsnis). Kitų BDAR nuostatų, be kita ko, susijusių su duomenų tvarkymo teisėtumu, laikymasis nepatenka į šios nuomonės taikymo sritį.**
ES nėra vienodo teisinio reikalavimo oro uostų operatoriams ir oro transporto bendrovėms patikrinti, ar keleivio įlaipinimo biliete nurodytas vardas ir pavardė atitinka jų tapatybės dokumente nurodytą vardą ir pavardę, ir tam gali būti taikomi nacionaliniai įstatymai. Todėl tais atvejais, kai keleivių tapatybės su oficialiu tapatybės dokumentu tikrinti nereikia, toks patikrinimas naudojant biometrinius duomenis neturėtų būti atliekamas, nes dėl to duomenys būtų tvarkomi pernelyg dažnai.
Savo nuomonėje EDAV apsvarstė, ar keleivių biometrinių duomenų tvarkymas atitinka keturių skirtingų rūšių saugojimo sprendimus, pradedant tais sprendimais, kuriais biometriniai duomenys saugomi tik asmens rankose, ir baigiant sprendimais, kurie grindžiami centralizuota saugojimo architektūra ir skirtingais būdais. Visais atvejais turėtų būti tvarkomi tik keleivių, kurie aktyviai registruoja ir sutinka dalyvauti, biometriniai duomenys.
EDAV nustatė, kad vieninteliai saugojimo sprendimai, kurie galėtų būti suderinami su vientisumo ir konfidencialumo, pritaikytosios duomenų apsaugos ir standartizuotojo duomenų tvarkymo bei tvarkymo saugumo principais, yra sprendimai, kuriais biometriniai duomenys saugomi asmens rankose arba centrinėje duomenų bazėje, o šifravimo raktas yra tik jo rankose. Šie saugojimo sprendimai, jei jie įgyvendinami su rekomenduojamų būtiniausių apsaugos priemonių sąrašu, yra vieninteliai būdai, kurie tinkamai atsveria duomenų tvarkymo kišimąsi, suteikiant asmenims kuo didesnę kontrolę.
EDAV nustatė, kad sprendimai, grindžiami saugojimu centralizuotoje duomenų bazėje oro uoste arba debesijoje, be asmens rankose esančių šifravimo raktų, negali būti suderinami su pritaikytosios ir standartizuotosios duomenų apsaugos reikalavimais ir, jei duomenų valdytojas apsiribotų analizuotuose scenarijuose aprašytomis priemonėmis, neatitiktų duomenų tvarkymo saugumo reikalavimų.
Kalbant apie saugojimo apribojimo principą, duomenų valdytojai turi užtikrinti, kad jie turėtų pakankamą numatomo saugojimo laikotarpio pagrindimą ir apsiriboti tuo, kas būtina siūlomam tikslui pasiekti.
Be to, DAI patvirtino darbo grupės ChatGPT darbo ataskaitą. Šią darbo grupę EDAV įsteigė siekdama skatinti duomenų apsaugos institucijų, tiriančių OpenAI sukurtą pokalbių robotą, bendradarbiavimą.
Ataskaitoje pateikiamos preliminarios nuomonės dėl tam tikrų DAI aptartų aspektų ir nedaromas poveikis analizei, kurią kiekviena DAI atliks atitinkamame vykdomame tyrime***.
Jame nagrinėjami keli aspektai, susiję su bendru taikomų BDAR nuostatų aiškinimu, aktualiais įvairiems vykdomiems tyrimams, kaip antai:
- mokymo duomenų rinkimo („web scraping“), taip pat duomenų apdorojimo ChatGPT įvesties, rezultatų ir mokymo tikslais teisėtumas.
- teisingumas: už BDAR laikymosi užtikrinimą atsako OpenAI, o ne duomenų subjektai, net jei asmenys įveda asmens duomenis.
- skaidrumas ir duomenų tikslumas: duomenų valdytojas turėtų pateikti tinkamą informaciją apie tikimybinį ChatGPT rezultatų pobūdį ir aiškiai nurodyti, kad sukurtas tekstas gali būti šališkas arba parengtas.
- Ataskaitoje nurodoma, kad būtina, jog duomenų subjektai galėtų veiksmingai naudotis savo teisėmis.
Darbo grupės nariai taip pat parengė bendrą klausimyną, kaip galimą pagrindą keistis informacija su atviruoju dirbtiniu intelektu, kuris skelbiamas kaip ataskaitos priedas.
Be to, EDAV nusprendė parengti gaires dėl Generatyvinio dirbtinio intelekto, visų pirma daugiausia dėmesio skirdama duomenų apdorojimui dirbtinio intelekto mokymo kontekste.
Galiausiai EDAV priėmė pareiškimą dėl Komisijos „Prieigos prie finansinių duomenų ir mokėjimų dokumentų rinkinio“ (į kurį įtraukti pasiūlymai dėl Reglamento dėl prieigos prie finansinių duomenų sistemos (FIDA), Mokėjimo paslaugų reglamento (MPR) ir dėl Mokėjimo paslaugų direktyvos 3 (MPD3)).
EDAV atkreipia dėmesį į Europos Parlamento ataskaitas dėl pasiūlymų dėl FIDA ir PSR, tačiau mano, kad, kiek tai susiję su sukčiavimo sandorių prevencija ir nustatymu, į PSR pasiūlymo sandorių stebėsenos mechanizmą turėtų būti įtrauktos papildomos duomenų apsaugos priemonės. Svarbu užtikrinti, kad atitinkamų asmenų pagrindinės teisės į asmens duomenų apsaugą ribojimo lygis būtų būtinas ir proporcingas tikslui užkirsti kelią sukčiavimui mokėjimo srityje.
Pastaba redaktoriams:
* Nuomonės taikymo sritis ribota ir joje nenagrinėjamas veido atpažinimo naudojimas apskritai ir visų pirma ji neapima veido atpažinimo naudojimo saugumo tikslais, sienų kontrolės ar teisėsaugos institucijų.
** Prašyme daroma prielaida, kad duomenų tvarkymas būtų grindžiamas kiekvieno keleivio sutikimu. Tačiau, atsižvelgiant į ribotą prašymo apimtį, nuomonėje nenagrinėjamas teisinis pagrindas ir visų pirma sutikimo tokiam duomenų tvarkymui galiojimas.
***Iki 2024 m. vasario 15 d. OpenAI neturėjo įmonės ES, todėl vieno langelio mechanizmas (OSS) nebuvo taikomas ir kiekviena DAI yra kompetentinga dėl galimų pažeidimų, kurie buvo padaryti ir nutraukti iki tos datos. Nacionaliniai tyrimai dėl galimų pažeidimų, padarytų iki 2024 m. vasario mėn., toliau bus aptariami darbo grupėje. Pažeidimų, kurie tęsiasi arba padaromi po 2024 m. vasario mėn., atveju taikomas vieno langelio principu grindžiamas mechanizmas.
Visiems EDAV plenariniame posėdyje priimtiems dokumentams taikomi būtini teisiniai, kalbiniai ir formatavimo patikrinimai ir jie bus paskelbti EDAV interneto svetainėje, kai tik jie bus užbaigti.
Čia paskelbtas pranešimas spaudai buvo automatiškai išverstas iš anglų kalbos. EDAV negarantuoja vertimo tikslumo. Jei kyla abejonių, žr. oficialų tekstą anglų kalba.