Брюксел, 24 май — По време на последното си пленарно заседание ЕКЗД прие становище относно използването на технологии за лицево разпознаване от летищните оператори и авиокомпаниите с цел рационализиране на пътникопотока на летищата*. По искане на френския орган за защита на данните настоящото становище по член 64, параграф 2 се отнася до въпрос с общо приложение и поражда последици в повече от една държава членка.
Председателят на ЕКЗД Ану Талус заяви: „Все повече летищни оператори и авиокомпании по света пилотират системи за лицево разпознаване, които позволяват на пътниците да преминават по-лесно през различните контролно-пропускателни пунктове. Важно е да се има предвид, че биометричните данни са особено чувствителни и че обработването им може да създаде значителни рискове за физическите лица. Технологията за разпознаване на лица може да доведе до фалшиви негативи, предубеждения и дискриминация. Злоупотребата с биометрични данни също може да има сериозни последици, като например измама с фалшива самоличност или представяне на фалшива самоличност. Поради това настоятелно призоваваме авиокомпаниите и летищните оператори да изберат по-малко натрапчиви начини за рационализиране на пътническите потоци, когато това е възможно. Според ЕКЗД физическите лица следва да имат максимален контрол върху собствените си биометрични данни.“
В становището се анализира съвместимостта на обработването с принципа на ограничаване на съхранението (член 5, параграф 1, буква д) от ОРЗД), принципа на цялостност и поверителност (член 5, параграф 1, буква е) от ОРЗД), защитата на данните на етапа на проектирането и по подразбиране (член 25 от ОРЗД) и сигурността на обработването (член 32 от ОРЗД). Спазването на други разпоредби на ОРЗД, включително по отношение на законосъобразността на обработването, не попада в обхвата на настоящото становище.**
В ЕС няма единно правно изискване летищните оператори и авиокомпаниите да проверяват дали името на бордната карта на пътника съвпада с името в техния документ за самоличност и това може да бъде предмет на националното законодателство. Поради това, когато не се изисква проверка на самоличността на пътниците с официален документ за самоличност, такава проверка с използване на биометрични данни не следва да се извършва, тъй като това би довело до прекомерно обработване на данни.
В становището си ЕКЗД разгледа съответствието на обработването на биометричните данни на пътниците с четири различни вида решения за съхранение, вариращи от такива, които съхраняват биометричните данни само в ръцете на физическото лице, до такива, които разчитат на централизирана архитектура за съхранение с различни условия. Във всички случаи следва да се обработват само биометричните данни на пътниците, които активно се регистрират и дават съгласие за участие.ЕКЗД установи, че единствените решения за съхранение, които биха могли да бъдат съвместими с принципа на цялост и поверителност, защитата на данните още при проектирането и по подразбиране, както и сигурността на обработването, са решенията, при които биометричните данни се съхраняват в ръцете на физическото лице или в централна база данни, но единствено с криптиращия ключ в ръцете му. Тези решения за съхранение, ако се прилагат със списък от препоръчителни минимални гаранции, са единствените условия, които адекватно компенсират натрапчивостта на обработването, като предлагат на физическите лица най-голям контрол.
ЕКЗД установи, че решенията, основани на съхранението в централизирана база данни в рамките на летището или в облака, без ключовете за криптиране в ръцете на физическото лице, не могат да бъдат съвместими с изискванията за защита на данните още при проектирането и по подразбиране и ако администраторът се ограничи до мерките, описани в анализираните сценарии, не би спазил изискванията за сигурност на обработването.
Що се отнася до принципа на ограничаване на съхранението, администраторите трябва да гарантират, че разполагат с достатъчна обосновка за предвидения срок на съхранение и да го ограничат до необходимото за предложената цел.
След това ОЗД приеха доклад относно работата на работната група на ChatGPT. Тази работна група е създадена от ЕКЗД с цел насърчаване на сътрудничеството между ОЗД, разследващи чатбота, разработен от OpenAI.
Докладът предоставя предварителни становища по някои аспекти, обсъждани между ОЗД, и не предопределя анализа, който ще бъде направен от всеки ОЗД в съответното текущо разследване***.
В него се анализират няколко аспекта, свързани с общото тълкуване на приложимите разпоредби на ОРЗД, които са от значение за различните текущи разследвания, като например:
- законосъобразността на събирането на данни за обучение („извличане на данни от интернет“), както и обработването на данни за въвеждане, извеждане и обучение на ChatGPT.
- справедливост: гарантирането на спазването на ОРЗД е отговорност на OpenAI, а не на субектите на данни, дори когато физическите лица въвеждат лични данни.
- прозрачност и точност на данните: администраторът следва да предостави подходяща информация относно вероятностния характер на резултатите от ChatGPT и да се позове изрично на факта, че генерираният текст може да е пристрастен или съставен.
- В доклада се посочва, че е наложително субектите на данни да могат да упражняват ефективно правата си.
Членовете на работната група също така разработиха общ въпросник като възможна основа за техния обмен с отворения ИИ, който е публикуван като приложение към доклада.
Освен това ЕКЗД реши да разработи насоки относно генеративния ИИ, като се съсредоточи като първа стъпка върху извличането на данни в контекста на обучението в областта на ИИ.
И накрая, ЕКЗД прие изявление относно пакета на Комисията за достъп до финансови данни и плащания (който включ��а предложенията за Регламента относно рамката за достъп до финансови данни (FIDA), Регламента за платежните услуги (PSR) и Директивата за платежните услуги 3 (PSD3).
ЕКЗД взема под внимание докладите на Европейския парламент относно предложенията за FIDA и PSR, но счита, че по отношение на предотвратяването и разкриването на измамни сделки в механизма за наблюдение на сделките в предложението за PSR следва да бъдат включени допълнителни гаранции за защита на данните. Важно е да се гарантира, че степента на намеса в основното право на защита на личните данни на засегнатите лица е необходима и пропорционална на целта за предотвратяване на измамите с плащания.
Бележка към редакторите:
* Становището има ограничен обхват и не разглежда използването на лицево разпознаване като цяло, и по-специално не обхваща използването на лицево разпознаване за целите на сигурността, граничния контрол или от правоприлагащите органи.
** В искането се приема, че обработването ще се основава на съгласието на всеки пътник. Въз основа на ограничения обхват на искането обаче в становището не се разглежда правното основание, и по-специално валидността на съгласието за такова обработване.
***До 15 февруари 2024 г. OpenAI нямаше място на стопанска дейност в ЕС, поради което механизмът за обслужване на едно гише (OSS) не се прилагаше и всеки ОЗД е компетентен по отношение на потенциални нарушения, извършени и прекратени преди тази дата. Националните разследвания относно потенциални нарушения, извършени преди февруари 2024 г., ще продължат да бъдат обсъждани в работната група. За нарушения, които продължават или настъпват след февруари 2024 г., се прилага механизмът за обслужване на едно гише.
Всички документи, приети по време на пленарното заседание на ЕКЗД, подлежат на необходимите правни и езикови проверки и проверки на форматирането и ще бъдат публикувани на уебсайта на ЕКЗД, след като бъдат завършени.
Прессъобщението, публикувано тук, е преведено автоматично от английски език. ЕКЗД не гарантира точността на превода. Моля, вижте официалния текст в неговата версия на английски език, ако има съмнение.