93. posiedzenie plenarne Europejskiej Rady Ochrony Danych, 23.05.2024 r.
EROD o technologii rozpoznawania twarzy na lotniskach: osoby fizyczne powinny mieć maksymalną kontrolę nad danymi biometrycznymi
23 maja br., podczas 93. posiedzenia plenarnego Europejska Rada Ochrony Danych ( EROD) przyjęła Opinię w sprawie wykorzystania technologii rozpoznawania twarzy przez operatorów portów lotniczych i przez linie lotnicze w celu usprawnienia przepływu pasażerów na lotniskach*. Opinia ta została wydana na podstawie art. 64 ust. 2 RODO na wniosek francuskiego organu ochrony danych i dotyczy sprawy mającej charakter ogólny i wywołującej skutki w więcej niż jednym państwie członkowskim.
Przewodnicząca EROD Anu Talus powiedziała: "Coraz więcej operatorów portów lotniczych i linii lotniczych na całym świecie pilotuje systemy rozpoznawania twarzy, które umożliwiają pasażerom łatwiejsze przechodzenie przez różne punkty kontrolne. Ważne jest, aby mieć świadomość, że dane biometryczne są szczególnie chronione i że ich przetwarzanie może stwarzać znaczne ryzyko dla osób fizycznych. Technologia rozpoznawania twarzy może prowadzić do fałszywych wyników , uprzedzeń i dyskryminacji. Niewłaściwe wykorzystanie danych biometrycznych może mieć również poważne konsekwencje, takie jak kradzież tożsamości lub podszywanie się pod inne osoby. W związku z tym wzywamy linie lotnicze i operatorów portów lotniczych, aby w miarę możliwości wybierali mniej inwazyjne sposoby usprawniania przepływu pasażerów. Zdaniem EROD osoby fizyczne powinny mieć maksymalną kontrolę nad własnymi danymi biometrycznymi".
W opinii przeanalizowano zgodność przetwarzania danych z zasadą ograniczenia przechowywania (art. 5 ust. 1 lit. e RODO), zasadą integralności i poufności (art. 5 ust. 1 lit. f RODO), uwzględnianiem ochrony danych w fazie projektowania i domyślną ochroną danych (art. 25 RODO) oraz bezpieczeństwem przetwarzania (art. 32 RODO). Zgodność z innymi przepisami RODO, w tym dotyczącymi zgodności przetwarzania z prawem, które nie zostały uwzględnione we wniosku, nie wchodzi w zakres niniejszej opinii.
Ponadto w UE nie ma jednolitego wymogu prawnego, zgodnie z którym operatorzy portów lotniczych i linie lotnicze muszą sprawdzać, czy imię i nazwisko na karcie pokładowej pasażera jest zgodne z imieniem i nazwiskiem w jego dokumencie tożsamości, co może podlegać przepisom krajowym. W związku z tym, w przypadku gdy weryfikacja tożsamości pasażerów za pomocą urzędowego dokumentu tożsamości nie jest wymagana, nie należy przeprowadzać takiej weryfikacji z wykorzystaniem danych biometrycznych, gdyż skutkowałoby to nadmiernym przetwarzaniem danych.
W swojej opinii EROD rozważyła zgodność przetwarzania danych biometrycznych pasażerów z czterema różnymi rodzajami rozwiązań w zakresie przechowywania, począwszy od takich, w których dane biometryczne są przechowywane wyłącznie w rękach osoby fizycznej, a skończywszy na rozwiązaniach, które opierają się na scentralizowanej architekturze przechowywania danych w różnych wariantach. We wszystkich przypadkach należy przetwarzać wyłącznie dane biometryczne pasażerów, którzy aktywnie się rejestrują i wyrażają zgodę na uczestnictwo.
EROD stwierdziła, że jedynymi rozwiązaniami w zakresie przechowywania, które mogą być zgodne z zasadą integralności i poufności danych, uwzględnianiem ochrony danych w fazie projektowania i domyślnej ochrony danych oraz bezpieczeństwem przetwarzania, są rozwiązania, w których dane biometryczne są przechowywane w rękach danej osoby, lub w centralnej bazie danych, jeśli klucz szyfrowania znajduje się wyłącznie w rękach tej osoby. Te rozwiązania w zakresie przechowywania, jeśli są wdrażane wraz z listą zalecanych minimalnych zabezpieczeń, są jedynymi sposobami, które odpowiednio równoważą inwazyjność przetwarzania, oferując osobom fizycznym największą kontrolę.
EROD stwierdziła, że rozwiązania oparte na przechowywaniu danych w scentralizowanej bazie danych w porcie lotniczym lub w chmurze, bez kluczy szyfrujących znajdujących się w rękach danej osoby, nie mogą być zgodne z wymogami ochrony danych już w fazie projektowania i domyślnej ochrony danych, a jeżeli administrator ograniczy się do środków opisanych w przeanalizowanych scenariuszach, nie spełniałyby wymogów bezpieczeństwa przetwarzania.
Jeżeli chodzi o zasadę ograniczenia przechowywania, administratorzy muszą upewnić się, że mają wystarczające uzasadnienie przewidywanego okresu przechowywania i ograniczyć go do tego, co jest niezbędne do osiągnięcia proponowanego celu.
Następnie organy ochrony danych przyjęły sprawozdanie z prac grupy zadaniowej ChatGPT. Ta grupa zadaniowa została utworzona przez EROD w celu promowania współpracy między organami ochrony danych badającymi chat bota opracowanego przez OpenAI.
Sprawozdanie zawiera wstępne opinie na temat niektórych aspektów omawianych przez organy ochrony danych i nie przesądza o analizie, która zostanie przeprowadzona przez każdy z organów ochrony danych w ramach trwającego dochodzenia.
W sprawozdaniu przeanalizowano kilka aspektów dotyczących wspólnej wykładni obowiązujących przepisów RODO, istotnych dla toczących się postępowań wyjaśniających, takich jak:
- zasady zgodności z prawem gromadzenia danych treningowych ("web scraping"), a także przetwarzania danych w celu wprowadzania, wyprowadzania danych i trenowania ChatGPT.
- rzetelność: zapewnienie zgodności z prawem jest obowiązkiem OpenAI, a nie osób, których dane dotyczą, nawet jeśli osoby fizyczne wprowadzają dane osobowe.
- przejrzystość i prawidłowość danych: administrator powinien dostarczyć odpowiednich informacji na temat probabilistycznego charakteru danych wyjściowych ChatGPT i wyraźnie odnieść się do faktu, że wygenerowany tekst może być stronniczy lub zmyślony.
- W sprawozdaniu podkreślono, że konieczne jest, aby osoby, których dane dotyczą, mogły skutecznie korzystać ze swoich praw.
Członkowie grupy zadaniowej opracowali również wspólny kwestionariusz, jako możliwą podstawę wymiany informacji z Open AI, który został opublikowany jako załącznik do sprawozdania.
Ponadto EROD postanowiła opracować wytyczne dotyczące generatywnej sztucznej inteligencji, koncentrując się w pierwszej kolejności na ekstrakcji danych („data scraping”) w kontekście szkolenia w zakresie sztucznej inteligencji.
Ponadto EROD przyjęła oświadczenie w sprawie opracowanego przez Komisję "pakietu dotyczącego dostępu do danych finansowych i płatności" (który obejmuje wnioski dotyczące rozporządzenia w sprawie ram dostępu do danych finansowych (FIDA), rozporządzenia w sprawie usług płatniczych (PSR) oraz dyrektywy w sprawie usług płatniczych 3 (PSD3)).
EROD przyjmuje do wiadomości sprawozdania Parlamentu Europejskiego w sprawie wniosków dotyczących FIDA i PSR, ale uważa, że w odniesieniu do zapobiegania nieuczciwym transakcjom i ich wykrywania należy uwzględnić dodatkowe zabezpieczenia w zakresie ochrony danych w mechanizmie monitorowania transakcji przewidzianym we wniosku dotyczącym rozporządzenia w sprawie usług płatniczych. Ważne jest zapewnienie, aby poziom ingerencji w podstawowe prawo do ochrony danych osobowych osób, których dane dotyczą, był konieczny i proporcjonalny do celu, jakim jest zapobieganie oszustwom płatniczym.
Uwaga dla redaktorów:
* Opinia ma ograniczony zakres i nie dotyczy stosowania rozpoznawania twarzy w ujęciu ogólnym, a w szczególności nie obejmuje stosowania rozpoznawania twarzy do celów bezpieczeństwa, kontroli granicznej lub przez organy ścigania.
** We wniosku zakłada się, że przetwarzanie będzie oparte na zgodzie każdego pasażera. Ze względu na ograniczony zakres wniosku w opinii nie zbadano jednak podstawy prawnej, a w szczególności ważności zgody na takie przetwarzanie.
Do 15 lutego 2024 r. OpenAI nie miało siedziby w UE, w związku z czym mechanizm kompleksowej współpracy (OSS) nie miał zastosowania, a każdy organ ochrony danych jest właściwy w odniesieniu do potencjalnych naruszeń, które zostały popełnione i zakończone przed tą datą.
Krajowe postępowania dotyczące potencjalnych naruszeń popełnionych przed lutym 2024 r. będą nadal omawiane w ramach grupy zadaniowej. W przypadku naruszeń, które trwają lub wystąpiły po lutym 2024 r., zastosowanie ma mechanizm OSS.
Wszystkie dokumenty przyjęte podczas sesji plenarnej EROD podlegają niezbędnym kontrolom prawnym, językowym i pod względem formatowania, oraz zostaną udostępnione na stronie internetowej EROD po ich zakończeniu.
Agenda z 93. posiedzenia plenarnego znajduje się pod tym linkiem:
EDPB plenary meeting - 23 May | European Data Protection Board (europa.eu)