Briselē, 24. maijā. Pēdējā plenārsēdē EDAK pieņēma atzinumu par sejas atpazīšanas tehnoloģiju izmantošanu lidostu ekspluatanti un aviosabiedrības, lai racionalizētu pasažieru plūsmu lidostās*. Šis 64. panta 2. punkta atzinums pēc Francijas Datu aizsardzības iestādes pieprasījuma attiecas uz vispārpiemērojamu jautājumu un rada sekas vairāk nekā vienā dalībvalstī.
EDAK priekšsēdētājs Anu Talus teica: “Jo vairāk lidostu ekspluatantu un aviosabiedrību visā pasaulē izmanto sejas atpazīšanas sistēmas, kas ļauj pasažieriem vieglāk nokļūt dažādos kontrolpunktos. Ir svarīgi apzināties, ka biometriskie dati ir īpaši sensitīvi un ka to apstrāde var radīt būtisku risku personām. Sejas atpazīšanas tehnoloģija var radīt viltus negatīvus, aizspriedumus un diskrimināciju. Biometrisko datu ļaunprātīgai izmantošanai var būt arī smagas sekas, piemēram, identitātes viltošana vai personas datu uzdošana. Tāpēc mēs mudinām aviosabiedrības un lidostu ekspluatantus, kad vien iespējams, izvēlēties mazāk traucējošus veidus, kā racionalizēt pasažieru plūsmas. EDAK uzskata, ka indivīdiem vajadzētu būt maksimālai kontrolei pār saviem biometriskajiem datiem.”
Atzinumā analizēta apstrādes saderība ar glabāšanas ierobežojuma principu (VDAR 5. panta 1. punkta e) apakšpunkts), integritātes un konfidencialitātes principu (VDAR 5. panta 1. punkta f) apakšpunkts), integrētu datu aizsardzību un datu aizsardzību pēc noklusējuma (VDAR 25. pants) un apstrādes drošību (GPDR 32. pants). Atbilstība citiem VDAR noteikumiem, tostarp attiecībā uz apstrādes likumību, nav šā atzinuma darbības jomā**.
Eiropas Savienībā nav vienotas juridiskas prasības lidostu ekspluatantiem un aviokompānijām pārbaudīt, vai pasažiera iekāpšanas apliecībā norādītais vārds atbilst viņu personu apliecinošā dokumentā norādītajam vārdam, un uz to var attiekties valsts tiesību akti. Tāpēc, ja nav nepieciešama pasažieru identitātes pārbaude ar oficiālu personu apliecinošu dokumentu, šāda pārbaude, izmantojot biometriskos datus, nebūtu jāveic, jo tas novestu pie pārmērīgas datu apstrādes.
Savā atzinumā EDAK apsvēra pasažieru biometrisko datu apstrādes atbilstību četriem dažādiem glabāšanas risinājumu veidiem, sākot no risinājumiem, kas biometriskos datus glabā tikai indivīda rokās, līdz tiem, kas paļaujas uz centralizētu glabāšanas arhitektūru ar atšķirīgu kārtību. Visos gadījumos būtu jāapstrādā tikai to pasažieru biometriskie dati, kuri aktīvi reģistrējas un piekrīt dalībai.
EDAK konstatēja, ka vienīgie glabāšanas risinājumi, kas varētu būt saderīgi ar integritātes un konfidencialitātes principu, integrētu datu aizsardzību un datu aizsardzību pēc noklusējuma un apstrādes drošību, ir risinājumi, saskaņā ar kuriem biometriskie dati tiek glabāti indivīda rīcībā vai centrālajā datubāzē, bet ar šifrēšanas atslēgu tikai viņu rokās. Šie uzglabāšanas risinājumi, ja tos īsteno ar ieteicamo minimālo drošības pasākumu sarakstu, ir vienīgā kārtība, kas pienācīgi līdzsvaro apstrādes uzmācību, piedāvājot indivīdiem vislielāko kontroli.
EDAK konstatēja, ka risinājumi, kuru pamatā ir uzglabāšana centralizētā datubāzē vai nu lidostā, vai mākonī, bez personas rīcībā esošām šifrēšanas atslēgām, nevar būt saderīgi ar integrētas datu aizsardzības un datu aizsardzības pēc noklusējuma prasībām un, ja pārzinis aprobežojas ar analizētajos scenārijos aprakstītajiem pasākumiem, tie neatbilstu apstrādes drošības prasībām.
Attiecībā uz glabāšanas ierobežojuma principu pārziņiem ir jānodrošina, ka tiem ir pietiekams pamatojums paredzētajam glabāšanas periodam un tas nepārsniedz to, kas ir nepieciešams ierosinātajam nolūkam.
Pēc tam DAI pieņēma ziņojumu par ChatGPT darba grupas darbu. Šo darba grupu izveidoja EDAK, lai veicinātu sadarbību starp datu aizsardzības iestādēm, kas izmeklē OpenAI izstrādāto tērzēšanas robotu.
Ziņojums sniedz sākotnējus viedokļus par dažiem aspektiem, kas apspriesti starp datu aizsardzības iestādēm, un neskar analīzi, ko katra DAI veiks attiecīgajā, notiekošajā izmeklēšanā***.
Tajā analizēti vairāki aspekti saistībā ar piemērojamo VDAR noteikumu vienotu interpretāciju, kas attiecas uz dažādām notiekošām izmeklēšanām, piemēram:
- apmācības datu vākšanas (“web scraping”), kā arī datu apstrādes, lai ievadītu, izvadītu un apmācītu ChatGPT, likumīgumu.
- taisnīgums: par atbilstības VDAR nodrošināšanu atbild OpenAI, nevis datu subjekti, pat ja personas ievada personas datus.
- pārredzamība un datu precizitāte: pārzinim būtu jāsniedz pienācīga informācija par ChatGPT rezultātu varbūtību un skaidri jānorāda uz to, ka radītais teksts var būt neobjektīvs vai veidots.
- Ziņojumā norādīts, ka ir ļoti svarīgi, lai datu subjekti varētu efektīvi izmantot savas tiesības.
Darba grupas locekļi arī izstrādāja kopīgu anketu kā iespējamu pamatu apmaiņai ar atklāto mākslīgo intelektu, ko publicē kā ziņojuma pielikumu.
Turklāt EDAK nolēma izstrādāt pamatnostādnes par ģeneratīvo mākslīgo intelektu, kā pirmo soli koncentrējoties uz datu skrāpēšanu MI apmācības kontekstā.
Visbeidzot, EDAK pieņēma paziņojumu par Komisijas “Finanšu datu piekļuves un maksājumu paketi” (kas ietver priekšlikumus regulai par finanšu datu piekļuves sistēmu (FIDA), par Maksājumu pakalpojumu regulu (PSR) un par Maksājumu pakalpojumu direktīvu 3 (MPD3)).
EDAK ņem vērā Eiropas Parlamenta ziņojumus par FIDA un PSR priekšlikumiem, bet uzskata, ka attiecībā uz krāpniecisku darījumu novēršanu un atklāšanu PSR priekšlikuma darījumu uzraudzības mehānismā būtu jāiekļauj papildu datu aizsardzības pasākumi. Ir svarīgi nodrošināt, ka iejaukšanās līmenis attiecīgo personu pamattiesībās uz personas datu aizsardzību ir nepieciešams un samērīgs ar mērķi novērst krāpšanu maksājumu jomā.
Piezīme redaktoriem:
* Atzinumam ir ierobežota darbības joma, un tajā nav aplūkota sejas atpazīšanas izmantošana kopumā un jo īpaši tas neattiecas uz sejas atpazīšanas izmantošanu drošības nolūkos, robežkontrolē vai tiesībaizsardzības iestādēs.
** Pieprasījumā tiek pieņemts, ka apstrāde tiks veikta, pamatojoties uz katra pasažiera piekrišanu. Tomēr, pamatojoties uz pieprasījuma ierobežoto apjomu, atzinumā nav izvērtēts juridiskais pamats un jo īpaši šādas apstrādes piekrišanas spēkā esamība.
***Līdz 2024. gada 15. februārim OpenAI nebija uzņēmējdarbības vietas ES, tāpēc vienas pieturas aģentūras mehānisms (OSS) netika piemērots, un katra DAI ir kompetenta attiecībā uz iespējamiem pārkāpumiem, kas izdarīti un izbeigti pirms minētā datuma. Valstu izmeklēšanas par iespējamiem pārkāpumiem, kas izdarīti pirms 2024. gada februāra, turpinās apspriest darba grupā. Pārkāpumiem, kas turpinās vai notiek pēc 2024. gada februāra, piemēro OSS mehānismu.
Uz visiem EDAK plenārsēdē pieņemtajiem dokumentiem attiecas nepieciešamās juridiskās, lingvistiskās un formatēšanas pārbaudes, un tie tiks darīti pieejami EDAK tīmekļa vietnē, tiklīdz tie būs pabeigti.
Šeit publicētais paziņojums presei ir automātiski tulkots no angļu valodas. EDAK negarantē tulkojuma precizitāti. Ja rodas šaubas, lūdzu, skatiet oficiālo tekstu tā angļu valodas versijā.