Βρυξέλλες, 24 Μαΐου — Κατά την τελευταία σύνοδο ολομέλειάς του, το ΕΣΠΔ εξέδωσε γνώμη σχετικά με τη χρήση τεχνολογιών αναγνώρισης προσώπου από τους φορείς εκμετάλλευσης αερολιμένων και τις αεροπορικές εταιρείες για τον εξορθολογισμό της ροής επιβατών στους αερολιμένες*. Η παρούσα γνωμοδότηση βάσει του άρθρου 64 παράγραφος 2, κατόπιν αιτήματος της γαλλικής αρχής προστασίας δεδομένων, εξετάζει ένα ζήτημα γενικής εφαρμογής και παράγει αποτελέσματα σε περισσότερ�� από ένα κράτη μέλη.
Η πρόεδρος του ΕΣΠΔ Anu Talus δήλωσε: «Όλο και περισσότεροι φορείς εκμετάλλευσης αερολιμένων και αεροπορικές εταιρείες σε όλο τον κόσμο χρησιμοποιούν πιλοτικά συστήματα αναγνώρισης προσώπου που επιτρέπουν στους επιβάτες να περνούν ευκολότερα από τα διάφορα σημεία ελέγχου. Είναι σημαντικό να γνωρίζετε ότι τα βιομετρικά δεδομένα είναι ιδιαίτερα ευαίσθητα και ότι η επεξεργασία τους μπορεί να δημιουργήσει σημαντικούς κινδύνους για τα άτομα. Η τεχνολογία αναγνώρισης προσώπου μπορεί να οδηγήσει σε ψευδή αρνητικά, προκαταλήψεις και διακρίσεις. Η κατάχρηση βιομετρικών δεδομένων μπορεί επίσης να έχει σοβαρές συνέπειες, όπως υποκλοπή ταυτότητας ή πλαστοπροσωπία. Ως εκ τούτου, παροτρύνουμε τις αεροπορικές εταιρείες και τους φορείς εκμετάλλευσης αερολιμένων να επιλέξουν λιγότερο παρεμβατικούς τρόπους για τον εξορθολογισμό των ροών επιβατών, όταν είναι δυνατόν. Κατά την άποψη του ΕΣΠΔ, τα φυσικά πρόσωπα θα πρέπει να έχουν τον μέγιστο έλεγχο επί των δικών τους βιομετρικών δεδομένων.»
Η γνωμοδότηση αναλύει τη συμβατότητα της επεξεργασίας με την αρχή του περιορισμού της αποθήκευσης [άρθρο 5 παράγραφος 1 στοιχείο ε) του ΓΚΠΔ], την αρχή τ��ς ακεραιότητας και της εμπιστευτικότητας [άρθρο 5 παράγραφος 1 στοιχείο στ) του ΓΚΠΔ], την προστασία των δεδομένων ήδη από τον σχεδιασμό και εξ ορισμού (άρθρο 25 του ΓΚΠΔ) και την ασφάλεια της επεξεργασίας (άρθρο 32 του ΓΚΠΔ). Η συμμόρφωση με άλλες διατάξεις του ΓΚΠΔ, μεταξύ άλλων όσον αφορά τη νομιμότητα της επεξεργασίας, δεν εμπίπτει στο πεδίο εφαρμογής της παρούσας γνωμοδότησης.**
Δεν υπάρχει ενιαία νομική απαίτηση στην ΕΕ για τους φορείς εκμετάλλευσης αερολιμένων και τις αεροπορικές εταιρείες να επαληθεύουν ότι το όνομα στην κάρτα επιβίβασης του επιβάτη αντιστοιχεί στο όνομα που αναγράφεται στο έγγραφο ταυτότητάς του, και αυτό μπορεί να υπόκειται στην εθνική νομοθεσία. Ως εκ τούτου, όταν δεν απαιτείται επαλήθευση της ταυτότητας των επιβατών με επίσημο έγγραφο ταυτότητας, δεν θα πρέπει να διενεργείται τέτοια επαλήθευση με τη χρήση βιομετρικών στοιχείων, καθώς αυτό θα οδηγούσε σε υπερβολική επεξεργασία δεδομένων.
Στη γνώμη του, το ΕΣΠΔ εξέτασε τη συμμόρφωση της επεξεργασίας των βιομετρικών δεδομένων των επιβατών με τέσσερις διαφορετικούς τύπους λύσεων αποθήκευσης, από λύσεις που αποθηκεύουν τα βιομετρικά δεδομένα μόνο στα χέρια του ατόμου έως λύσεις που βασίζονται σε κεντρική αρχιτεκτονική αποθήκευσης με διαφορετικές λεπτομέρειες. Σε κάθε περίπτωση, θα πρέπει να υποβάλλονται σε επεξεργασία μόνο τα βιομετρικά δεδομένα των επιβατών που εγγράφονται ενεργά και συναινούν στη συμμετοχή τους.
Το ΕΣΠΔ διαπίστωσε ότι οι μόνες λύσεις αποθήκευσης που θα μπορούσαν να είναι συμβατές με την αρχή της ακεραιότητας και της εμπιστευτικότητας, την προστασία των δεδομένων ήδη από τον σχεδιασμό και εξ ορισμού και την ασφάλεια της επεξεργασίας, είναι οι λύσεις με τις οποίες τα βιομετρικά δεδομένα αποθηκεύονται στα χέρια του ατόμου ή σε κεντρική βάση δεδομένων, αλλά με το κλειδί κρυπτογράφησης αποκλειστικά στα χέρια του. Αυτές οι λύσεις αποθήκευσης, εάν εφαρμοστούν με έναν κατάλογο συνιστώμενων ελάχιστων διασφαλίσεων, είναι οι μόνες ρυθμίσεις που αντισταθμίζουν επαρκώς την παρεμβατικότητα της επεξεργασίας προσφέροντας στα άτομα τον μέγιστο έλεγχο.
Το ΕΣΠΔ διαπίστωσε ότι οι λύσεις που βασίζονται στην αποθήκευση σε κεντρική βάση δεδομένων είτε εντός του αερολιμένα είτε στο υπολογιστικό νέφος, χωρίς τα κλειδιά κρυπτογράφησης στα χέρια του ατόμου, δεν μπορούν να είναι συμβατές με τις απαιτήσεις προστασίας των δεδομένων ήδη από τον σχεδιασμό και εξ ορισμού και, εάν ο υπεύθυνος επεξεργασίας περιοριστεί στα μέτρα που περιγράφονται στα σενάρια που αναλύθηκαν, δεν θα συμμορφώνεται με τις απαιτήσεις ασφάλειας της επεξεργασίας.
Όσον αφορά την αρχή του περιορισμού της αποθήκευσης, οι υπεύθυνοι επεξεργασίας πρέπει να διασφαλίζουν ότι έχουν επαρκή αιτιολόγηση για την προβλεπόμενη περίοδο διατήρησης και να την περιορίζουν σε ό,τι είναι αναγκαίο για τον προτεινόμενο σκοπό.
Στη συνέχεια, οι ΑΠΔ ενέκριναν έκθεση σχετικά με τις εργασίες της ειδικής ομάδας ChatGPT . Η εν λόγω ειδική ομάδα δημιουργήθηκε από το ΕΣΠΔ για την προώθηση της συνεργασίας μεταξύ των ΑΠΔ που διερευνούν το διαλογικό ρομπότ που ανέπτυξε η OpenAI.
Η έκθεση παρέχει προκαταρκτικές απόψεις σχετικά με ορισμένες πτυχές που συζητήθηκαν μεταξύ των ΑΠΔ και δεν προδικάζει την ανάλυση που θα πραγματοποιήσει κάθε ΑΠΔ στην αντίστοιχη, εν εξελίξει έρευνά της***.
Αναλύει διάφορες πτυχές σχετικά με την κοινή ερμηνεία των εφαρμοστέων διατάξεων του ΓΚΠΔ που αφορούν τις διάφορες εν εξελίξει έρευνες, όπως:
- νομιμότητα της συλλογής δεδομένων κατάρτισης («web scraping»), καθώς και της επεξεργασίας δεδομένων για την εισαγωγή, την παραγωγή και την κατάρτιση του ChatGPT.
- δικαιοσύνη: Η διασφάλιση της συμμόρφωσης με τον ΓΚΠΔ αποτελεί ευθύνη της OpenAI και όχι των υποκειμένων των δεδομένων, ακόμη και όταν τα φυσικά πρόσωπα εισάγουν δεδομένα προσωπικού χαρακτήρα.
- διαφάνεια και ακρίβεια των δεδομένων: ο υπεύθυνος επεξεργασίας θα πρέπει να παρέχει κατάλληλες πληροφορίες σχετικά με τον πιθανολογικό χαρακτήρα των αποτελεσμάτων του ChatGPT και να αναφέρεται ρητά στο γεγονός ότι το παραγόμενο κείμενο μπορεί να είναι μεροληπτικό ή κατασκευασμένο.
- Η έκθεση επισημαίνει ότι είναι επιτακτική ανάγκη τα υποκείμενα των δεδομένων να μπορούν να ασκούν αποτελεσματικά τα δικαιώματά τους.
Τα μέλη της ειδικής ομάδας ανέπτυξαν επίσης ένα κοινό ερωτηματολόγιο ως πιθανή βάση για τις ανταλλαγές τους με την ανοικτή ΤΝ, το οποίο δημοσιεύεται ως παράρτημα της έκθεσης.
Επιπλέον, το ΕΣΠΔ αποφάσισε να αναπτύξει κατευθυντήριες γραμμές για την παραγωγική ΤΝ, εστιάζοντας ως πρώτο βήμα στην απόξεση δεδομένων στο πλαίσιο της κατάρτισης στον τομέα της ΤΝ.
Τέλος, το ΕΣΠΔ εξέδωσε δήλωση σχετικά με τη «δέσμη μέτρων της Επιτροπής για την πρόσβαση σε χρηματοοικονομικά δεδομένα και τις πληρωμές» [η οποία περιλαμβάνει τις προτάσεις για τον κανονισμό σχετικά με το πλαίσιο πρόσβασης σε χρηματοοικονομικά δεδομένα (FIDA), τον κανονισμό για τις υπηρεσίες πληρωμών (PSR) και την οδηγία για τις υπηρεσίες πληρωμών 3 (PSD3)].
Το ΕΣΠΔ λαμβάνει υπό σημείωση τις εκθέσεις του Ευρωπαϊκού Κοινοβουλίου σχετικά με τις προτάσεις FIDA και PSR, αλλά θεωρεί ότι, όσον αφορά την πρόληψη και τον εντοπισμό δόλιων συναλλαγών, θα πρέπει να συμπεριληφθούν πρόσθετες εγγυήσεις προστασίας των δεδομένων στον μηχανισμό παρακολούθησης συναλλαγών της πρότασης PSR. Είναι σημαντικό να διασφαλιστεί ότι το επίπεδο παρέμβασης στο θεμελιώδες δικαίωμα προστασίας των δεδομένων προσωπικού χαρακτήρα των ενδιαφερόμενων προσώπων είναι αναγκαίο και αναλογικό προς τον στόχο της πρόληψης της απάτης στον τομέα των πληρωμών.
Σημείωση προς τους συντάκτες:
* Η γνώμη έχει περιορισμένο πεδίο εφαρμογής και δεν εξετάζει τη χρήση της αναγνώρισης προσώπου εν γένει και ειδικότερα δεν καλύπτει τη χρήση της αναγνώρισης προσώπου για σκοπούς ασφάλειας, συνοριακού ελέγχου ή από υπηρεσίες επιβολής του νόμου.
** Στην αίτηση, τεκμαίρεται ότι η επεξεργασία θα βασίζεται στη συγκατάθεση κάθε επιβάτη. Ωστόσο, με βάση το περιορισμένο πεδίο εφαρμογής του αιτήματος, η γνωμοδότηση δεν εξετάζει τη νομική βάση και ιδίως την εγκυρότητα της συγκατάθεσης για την εν λόγω επεξεργασία.
***Μέχρι τις 15 Φεβρουαρίου 2024, η OpenAI δεν διέθετε εγκατάσταση στην ΕΕ και, ως εκ τούτου, δεν εφαρμοζόταν ο μηχανισμός μίας στάσης (OSS) και κάθε ΑΠΔ είναι αρμόδια για πιθανές παραβάσεις που διαπράχθηκαν και τερματίστηκαν πριν από την εν λόγω ημερομηνία. Οι εθνικές έρευνες σχετικά με πιθανές παραβάσεις που διαπράχθηκαν πριν από τον Φεβρουάριο του 2024 θα εξακολουθήσουν να συζητούνται στην ειδική ομάδα. Για παραβάσεις που συνεχίζονται ή σημειώνονται μετά τον Φεβρουάριο του 2024, εφαρμόζεται ο μηχανισμός μονοαπευθυντικής θυρίδας.
Όλα τα έγγραφα που εγκρίνονται κατά τη διάρκεια της ολομέλειας του ΕΣΠΔ υπόκεινται στους αναγκαίους νομικούς και γλωσσικούς ελέγχους και ελέγχους μορφοποίησης και θα διατίθενται στον ιστότοπο του ΕΣΠΔ μόλις ολοκληρωθούν.
Το δελτίο τύπου που δημοσιεύεται εδώ έχει μεταφραστεί αυτόματα από τα αγγλικά. Το ΕΣΠΔ δεν εγγυάται την ακρίβεια της μετάφρασης. Παρακαλείσθε να ανατρέξετε στο επίσημο κείμενο στην αγγλική έκδοσή του, εάν υπάρχουν αμφιβολίες.