EDPB o biometriji na letališčih
Evropski odbor za varstvo podatkov (EDPB) je na zadnjem plenarnem zasedanju sprejel Mnenje o uporabi tehnologij za prepoznavanje obrazov s strani upravljavcev letališč in letalskih družb za olajšanje pretoka potnikov na letališčih. To mnenje na podlagi drugega odstavka 64. člena na zahtevo francoskega organa za varstvo podatkov obravnava zadevo splošne uporabe in ima učinke v več kot eni državi članici.
„Vse več upravljavcev letališč in letalskih družb po vsem svetu preizkuša sisteme za prepoznavanje obrazov, ki potnikom omogočajo lažji prehod skozi različne kontrolne točke. Zavedati se je treba, da so biometrični podatki še posebej občutljivi in da lahko njihova obdelava povzroči znatna tveganja za posameznike. Tehnologija prepoznavanja obraza lahko privede do lažnih negativnih rezultatov, pristranskosti in diskriminacije. Zloraba biometričnih podatkov ima lahko tudi hude posledice, kot je zloraba identitete ali izdajanje za drugo osebo. Zato letalske družbe in upravljavce letališč pozivamo, naj se odločijo za manj vsiljive načine za olajšanje pretoka potnikov, kadar je to mogoče. Po mnenju EDPB bi morali imeti posamezniki kar največji nadzor nad svojimi biometričnimi podatki.“
Predsednica EOVP Anu Talus
Mnenje analizira združljivost obdelave z načelom omejitve shranjevanja (točka (e) prvega odstavka 5. člena Splošne uredbe o varstvu podatkov), načelom celovitosti in zaupnosti (točka (f) prvega odstavka 5. člena Splošne uredbe o varstvu podatkov), vgrajenim in privzetim varstvom podatkov (25. člen Splošne uredbe o varstvu podatkov) ter varnostjo obdelave (32. člen Splošne uredbe o varstvu podatkov). Skladnost z drugimi določbami Splošne uredbe o varstvu podatkov, tudi v zvezi z zakonitostjo obdelave, ne spada na področje obravnave tega mnenja.
V EU ni enotne pravne zahteve, v skladu s katero bi morali upravljavci letališč in letalske družbe preveriti, ali se ime na vstopnem kuponu potnika ujema z imenom na njegovem osebnem dokumentu, kar je lahko predmet nacionalne zakonodaje. Kadar torej preverjanje identitete potnikov z uradnim osebnim dokumentom ni potrebno, se tako preverjanje z uporabo biometričnih podatkov ne bi smelo izvajati, saj bi to povzročilo pretirano obdelavo podatkov.
EDPB je v svojem mnenju obravnaval skladnost obdelave biometričnih podatkov potnikov s štirimi različnimi vrstami rešitev za shranjevanje, od tistih, ki biometrične podatke shranjujejo samo v rokah posameznika, do tistih, ki temeljijo na centralizirani arhitekturi za shranjevanje z različnimi načini. V vseh primerih bi bilo treba obdelovati samo biometrične podatke potnikov, ki se aktivno vpišejo in privolijo v sodelovanje.
EDPB je ugotovil, da so edine rešitve za shranjevanje, ki bi lahko bile združljive z načelom celovitosti in zaupnosti, vgrajenim in privzetim varstvom podatkov ter varnostjo obdelave, tiste rešitve, pri katerih so biometrični podatki shranjeni v rokah posameznika ali v osrednji podatkovni zbirki, vendar s šifrirnim ključem izključno v njihovih rokah. Te rešitve za shranjevanje, če se izvajajo s seznamom priporočenih minimalnih zaščitnih ukrepov, so edini načini, ki ustrezno izravnajo vsiljivost obdelave, tako da posameznikom zagotavljajo največji nadzor.
EDPB je ugotovil, da rešitve, ki temeljijo na shranjevanju v centralizirani podatkovni zbirki na letališču ali v oblaku brez šifrirnih ključev v rokah posameznika, ne morejo biti združljive z zahtevami glede vgrajenega in privzetega varstva podatkov ter ne bi izpolnjevale zahtev glede varnosti obdelave, če se upravljavec omeji na ukrepe, opisane v analiziranih scenarijih.
Kar zadeva načelo omejitve hrambe, morajo upravljavci zagotoviti, da imajo zadostno utemeljitev za predvideno obdobje hrambe in ga omejiti na to, kar je potrebno za predlagani namen.