Den Europeiska dataskyddsstyrelsen (EDPB) konstaterade att användning av ansiktsigenkänning på flygplatser kan uppfylla kraven enligt GDPR, men att flygplatser borde använda andra metoder som är mindre integritetskänsliga.
Biometriska uppgifter
Biometriska uppgifter utgör känsliga personuppgifter enligt artikel 9 i GDPR. Det kan bland annat medföra stora risker för de registrerade att behandla dessa typer av personuppgifter. Därför bör sådana uppgifter inte bli behandlade, om det inte är absolut nödvändigt. Ju känsligare personuppgifterna är, desto högre säkerhet krävs. Företag som behandlar personuppgifter måste vidta tillräckliga organisatoriska och tekniska säkerhetsåtgärder för att bland annat skydda dem.
Företag bör analysera om det verkligen är nödvändigt att använda ansiktsigenkänning, vilket utgör behandling av biometriska uppgifter. I Sverige fick Gymnasienämnden i Skellefteå betala en sanktionsavgift, eftersom de använde ansiktsigenkänning för att registrera närvaron från sina elever i strid med GDPR.
Användning av ansiktsigenkänning på flygplatser i enlighet med GDPR
Den franska dataskyddsmyndigheten begärde ett yttrande från den Europeiska dataskyddsstyrelsen (EDPB) gällande användning av ansiktsigenkänning på flygplatser. Nedan följer en summering av viktiga punkter från yttrandet:
- Lagring: Känsliga personuppgifter kräver säkrare lagring än vanliga personuppgifter. Den Europeiska dataskyddsstyrelsen konstaterade att flygplatser kan ha en central databas med en krypteringsnyckel, men som enbart den registrerade har tillgång till. Alternativt att det är den registrerade som själv lagrar personuppgifterna.
- Lagringstid: När företag, organisationer eller offentliga organ behandlar personuppgifter ska de bestämma en lagringstid. I och med att biometriska uppgifter utgör känsliga personuppgifter, behöver flygplatser ha tillräckliga grunder för att få behandla personuppgifterna under den planerade lagringstiden.
- Inget enhetligt krav i EU att identifiera passagerare på flygplatser
I EU finns det inget enhetligt krav på att identifiera passagerare på flygplatser. Därför bör inte en flygplats, som inte identifierar en passagerare genom en identitetshandling (såsom Pass eller EU-legitimation), använda ansiktsigenkänning.
Dataskyddsmyndigheternas roll i övervakning av artificiell intelligens
Alla EU-länder ska utse en marknadstillsynsmyndighet i enlighet med för förordningen om artificiell intelligens (AI) senast den 2 augusti 2025. Enligt rekommendationen från den Europeiska dataskyddsstyrelsen, bör det vara dataskyddsmyndigheten i landet eftersom AI-system och personuppgiftsbehandling går hand i hand. Myndigheten som alla länder måste utse ska vara en kontaktpunkt mellan medborgare och aktörer. De ska bland annat ha befogenhet att övervaka företag som bedriver AI-system.