Det Europæiske Databeskyttelsesråd bemærkede, at anvendelsen af ansigtsgenkendelse i lufthavne kan opfylde kravene i GDPR, men at lufthavne bør anvende andre metoder, der er mindre følsomme over for privatlivets fred.
Biometriske data
Biometriske data udgør følsomme personoplysninger som omhandlet i databeskyttelsesforordningens artikel 9. Behandlingen af disse typer personoplysninger kan bl.a. indebære store risici for de registrerede. Sådanne oplysninger bør derfor ikke behandles, medmindre det er absolut nødvendigt. Jo mere følsomme personoplysningerne er, jo højere er det krævede sikkerhedsniveau. Virksomheder, der behandler personoplysninger, skal træffe tilstrækkelige organisatoriske og tekniske sikkerhedsforanstaltninger for bl.a. at beskytte dem.
Virksomhederne bør analysere, om brugen af ansigtsgenkendelse, som er behandling af biometriske data, virkelig er nødvendig. I Sverige skulle gymnasiebestyrelsen i Skellefteå betale en bøde, fordi de brugte ansigtsgenkendelse til at registrere fremmøde fra deres elever i strid med GDPR.
Brug af ansigtsgenkendelse i lufthavne i overensstemmelse med GDPR
Den franske databeskyttelsesmyndighed anmodede om en udtalelse fra Det Europæiske Databeskyttelsesråd om anvendelsen af ansigtsgenkendelse i lufthavne. De vigtigste punkter i udtalelsen er sammenfattet nedenfor:
- Opbevaring: Følsomme personoplysninger kræver sikrere opbevaring end almindelige personoplysninger. Databeskyttelsesrådet bemærkede, at lufthavne kan have en central database med en krypteringsnøgle, men som kun den registrerede har adgang til. Alternativt er det den registrerede selv, der opbevarer personoplysningerne.
- Opbevaringsperiode: Når virksomheder, organisationer eller offentlige organer behandler personoplysninger, fastsætter de en opbevaringsperiode. Da biometriske oplysninger udgør følsomme personoplysninger, skal lufthavnene have tilstrækkeligt grundlag for at behandle personoplysningerne i den planlagte opbevaringsperiode.
- Intet ensartet krav i EU om identifikation af passagerer i lufthavne
I EU er der ikke noget ensartet krav om at identificere passagerer i lufthavne. Derfor bør en lufthavn, der ikke identificerer en passager ved hjælp af et identitetsdokument (f.eks. et pas eller et EU-ID), ikke anvende ansigtsgenkendelse.
Databeskyttelsesmyndighedernes rolle i overvågningen af kunstig intelligens
Hver medlemsstat skal udpege en markedsovervågningsmyndighed i overensstemmelse med forordningen om kunstig intelligens (AI) senest den 2. august 2025. Ifølge henstillingen fra Det Europæiske Databeskyttelsesråd bør det være landets databeskyttelsesmyndighed, da AI-systemer og behandling af personoplysninger går hånd i hånd. Den myndighed, som alle lande skal udpege, bør være et kontaktpunkt mellem borgere og interessenter. De har bl.a. beføjelse til at overvåge virksomheder, der driver AI-systemer.
