Francouzský dozorový úřad se obrátil na Evropský sbor pro ochranu osobních údajů (EDPB) s dotazem na využití techniky facial recognition na letištích. Dotaz směřoval k tomu, zda a za jakých podmínek může být použití technologie rozpoznávání obličeje pro účely autentizace cestujících s cílem zefektivnění toku cestujících na letištích (bezpečnostní kontrola, odbavení zavazadel, nástup do letadla a přístup do letištního salónku pro cestující) slučitelné s obecným nařízením o ochraně osobních údajů (GDPR).
EDPB se k věci vyjádřil dne 24. května 2024, kdy publikoval stanovisko č. 11/2024.
O čem stanovisko Evropské sboru není?
Pro úplnost dodejme, že zpracování osobních údajů v rámci hraničních kontrol a kontrol prováděných bezcelními prodejnami předmětné stanovisko neřeší. Dané stanovisko se rovněž zabývá pouze zpracováním osobních údajů cestujících a nevztahuje se na jiné typy subjektů údajů, jako jsou např. zaměstnanci provozovatelů letišť nebo leteckých společností. Důležité rovněž je, že předmětné stanovisko se nezabývá zpracováním osobních údajů dětí a nejsou v něm zohledněny žádné zvláštní požadavky, které se v tomto ohledu uplatňují.
Požadavky na souhlas s využitím facial recognition
Francouzský dozorový úřad ve svém dotaze předpokládal, že by výše popsané zpracování bylo založeno na souhlasu cestujících. EDPB se tedy nezabýval dalšími zákonnými důvody pro zpracování biometrických. Ve vztahu k souhlasu ale upozornil na to, že
subjekty údajů by měli mít možnost se skutečně svobodně rozhodnout, zda tyto služby využijí či nikoli, a to bez jakékoliv újmy (např. výrazně delší zpoždění pro cestující, kteří souhlas neudělí), pobídek, dodatečných nákladů nebo dalších výhod na oplátku za udělení souhlasu,
subjekty údajů by měli mít možnost souhlas kdykoli snadno odvolat, a to bez jakékoliv újmy,
je nezbytné, aby osoby, které výslovně nesouhlasily s rozpoznáváním obličeje pro zamýšlený účel, nebyly kamerami s touto technologií vůbec snímány. Toho lze dosáhnout například vyhrazením zvláštních pruhů pro rozpoznávání obličeje a zajištěním vhodného značení a fyzického oddělení od nebiometrických kontrolních prostor.
Čtyři scénáře automatického rozpoznávání obličeje
EDPB ve svém stanovisko zvažoval čtyři možné scénáře využití biometrických údajů za účelem zefektivnění toku cestujících na letištích. Od řešení, která uchovávají biometrické údaje plně pod kontrolou dotčené osoby, až po řešení, která se opírají o centralizovanou architekturu ukládání dat.
V EU neexistuje jednotný právní požadavek, aby provozovatelé letišť a letecké společnosti ověřovali, zda se jméno na palubní vstupence cestujícího shoduje se jménem v jeho dokladu totožnosti. Tato povinnost však může být obsažena ve vnitrostátních právních předpisech. I pro scénáře, které EDPB shledal v souladu s GDPR, proto platí, že v situacích, kdy není vyžadováno ověření totožnosti cestujících pomocí úředního dokladu totožnosti, by nemělo být prováděno ověření pomocí biometrických údajů. To by vedlo k nadměrnému zpracování osobních údajů v rozporu se zásadou minimalizace údajů stanovenou v čl. 5 odst. 1 písm. c) GDPR.
Scénář 1: Uložení biometrického vzorku pouze v rukou cestujícího
Ve scénáři 1 je biometrický vzorek každého cestujícího, který s takovýmto zpracováním souhlasil, uložen pouze u něj, například na individuálním zařízení, které má každý cestující pod svou výhradní kontrolou. Cestující jsou při průchodu ověřováni konkrétními kontrolními stanovišti na letišti. Doba uchovávání biometrických údajů správcem, který provádí kontrolu, je velmi krátká, protože data jsou vymazána okamžitě, jakmile kontrola proběhne.
Registraci biometrického vzorku provádí provozovatel letiště, a to buď na dálku prostřednictvím své aplikace, nebo na letištních terminálech s odpovídající úrovní zajištění totožnosti (např. odpovídající úroveň zajištění eIDAS). Tato registrace spočívá v tom, že se na zařízení cestujícího zaznamená biometrický vzor a identifikační údaje nezbytné pro předmětné zpracování. K zápisu dochází pouze jednou a na omezenou dobu. Provozovatel letiště po procesu registrace neuchovává ani průkaz totožnosti cestujícího, ani jeho biometrické údaje.
Uložení biometrického vzorku pouze v rukou jednotlivce představuje ve srovnání s řešením, kdy jsou biometrické údaje uloženy v centralizované databázi, méně rizikové pro práva a svobody dotčených osob. Takovéto lokalizované uchovávání, pokud je doprovázeno vhodnými ochrannými opatřeními, snižuje závažnost případného porušení zabezpečení osobních údajů a zajišťuje, že přístup k biometrickému vzoru vždy zahrnuje aktivní zapojení subjektu údajů.
Scénář 1 tak lze v zásadě považovat za slučitelný s čl. 5 odst. 1 písm. f) a články 25 a 32 GDPR, pokud jsou zajištěna vhodná ochranná opatření. Typická opatření lze najít na str. 18 až 24 předmětného stanoviska EDPB.
Scénář 2: centralizované uložení biometrického vzorku letištěm v zašifrované podobě s klíčem drženým výhradně v rukou cestujícího
Ve scénáři 2 se registrace biometrického vzorku provádí pouze jednou, pro omezené období platnosti, a to buď na dálku při odpovídající úrovni ověření totožnosti (např. odpovídající úroveň ověření eIDAS), nebo na letištních terminálech. Zápis je řízen provozovatelem letiště a spočívá ve vygenerování identifikačních a biometrických údajích, které jsou zašifrovány. Databáze je uložena v úložišti pod kontrolou provozovatele letiště. Šifrovací klíče jsou uloženy pouze v zařízení cestujícího (například v mobilní aplikaci provozovatele letiště).
Cestující, kteří se následně rozhodnou projít biometrickými kontrolními stanovišti, ukazují svůj QR kód obsahující šifrovací klíč speciálnímu kontrolnímu stanovišti vybavenému QR skenerem a kamerou. Index cestujícího se odešle do databáze, kde se vyžádá šifrovaný biometrický vzor, který se stáhne a zkontroluje lokálně v modulu a/nebo v zařízení uživatele. Personál kontrolního stanoviště zná a používá pouze výsledek shody.
Scénář 2 lze podle EDPB v zásadě považovat za slučitelný s čl. 5 odst. 1 písm. f) a články 25 a 32 GDPR, pokud jsou zajištěna vhodná ochranná opatření. Typická opatření lze najít na str. 26 až 28 předmětného stanoviska EDPB.
Scénář 3 a 4: centralizované uložení biometrického vzorku
Poslední dva scénáře pracují s centralizovaným uložením biometrických vzorků provozovatelem letiště, přičemž tato data nejsou zašifrována klíčem, který mají v držení pouze cestující. Scénáře přitom pracují s rozdílným způsobem uložení biometrického vzorku: 1) vzorky jsou uloženy v databázi na letišti pod kontrolou provozovatele letiště nebo 2) j biometrické vzorky jsou uloženy v cloudu pod kontrolou letecké společnosti.
U obou scénářů dospěl EDPB k závěru, že takovéto řešení by nebylo v souladu s GDPR.
Dopad na ostatní biometrické systémy
I když se stanovisko EDPB týká použití biometrických údajů s cílem zefektivnění toku cestujících na letištích, je možné z něj vyvodit obecné závěry. Stanovisko zdůrazňuje citlivou povahu biometrických údajů. Zpracování biometrických údajů vyžadují zvýšenou pozornost správce dat, zejména ve formě důkladných bezpečnostních opatření a posouzení nezbytnosti a přiměřenosti zpracování této kategorie dat. Ani souhlas totiž nemůže být důvodem pro nadměrné shromažďování nebo ukládání biometrických údajů. Vždy je nutné zkoumat nezbytnost a přiměřenost takovéhoto zpracování.
EDPB klade důraz na omezení používaní biometrických údajů, délky jejich uchovávání a minimalizace přístupu k nim. Tato zásada platí pro všechny scénáře rozpoznávání obličeje uvedené v komentovaném stanovisku. EDPB vyzývá správce, aby analyzovali a zvážili méně invazivní alternativy a řádně odůvodnili dobu uchovávání biometrických údajů.
Stanovisko zdůrazňuje, že centralizace biometrických údajů zvyšuje potenciální dopad porušení zabezpečení osobních údajů a neoprávněného přístupu k nim. Zásadní je kontrola subjektu údajů nad jeho biometrickými údaji. EDPB upřednostňuje scénáře, kdy si jednotlivci ponechávají kontrolu nad svými biometrickými údaji, ať už tím, že se údaje nacházejí na jejich lokálním úložišti, nebo tím, že jenom oni mají k dispozici šifrovací klíč k datům. Tento přístup podtrhuje význam postavení subjektů údajů ve všech situacích využití technologie facial recognition, možnost aktivního zapojení subjektu údajů do ochrany jeho práv a podporuje transparentnost zpracování osobních údajů.