Czy rozpoznawanie twarzy na lotniskach jest zgodne z RODO

Opinia EROD została wydana w trybie art. 64 ust. 2 RODO na wniosek francuskiego organu nadzorczego (CNIL). Dotyczy ona zgodności systemów automatycznego rozpoznawania twarzy na lotniskach z regułami RODO tj.:

• zasadą ograniczenia przechowywania (art. 5 ust. 1 lit. e) RODO),

• zasadą integralności i poufności (art. 5 ust. 1 lit. f) RODO),

• uwzględnianiem ochrony danych w fazie projektowania i domyślną ochroną danych czyli privacy by design i privacy by default (art. 25 RODO),

• bezpieczeństwem przetwarzania (art. 32 RODO).

W ocenie EROD to, czy na lotniskach można stosować automatyczne rozpoznawanie twarzy, jest determinowane regulacjami krajowymi. Otóż jeśli przepisy krajowe obligują operatorów portów lotniczych i przedsiębiorstwa lotnicze do sprawdzania, czy nazwisko na karcie pokładowej pasażera odpowiada nazwisku na jego dokumencie tożsamości, wówczas konieczna staje się weryfikacja tożsamości pasażera. W takim przypadku do weryfikacji można wykorzystać dane biometryczne (twarz) pasażera poprzez jej skanowanie. W przeciwnym razie stosowanie systemu rozpoznawania twarzy prowadziłoby do nadmiarowego przetwarzania danych osobowych.

Ważnym aspektem jest także przechowywanie danych biometrycznych pasażerów. EROD za właściwe uznała rozwiązania polegające na tym, że dane biometryczne pozyskane w wyniku skanowania twarzy są przechowywane przez konkretną osobę lub w centralnej bazie danych, ale z kluczem szyfrującym dostępnym wyłącznie dla tej osoby. Sposób ten został uznany za adekwatny do poziomu ryzyka wiążącego się z przetwarzaniem tych danych osobowych. Zakwestionowano natomiast rezygnację z udostępniania klucza szyfrującego osobie fizycznej.

• www.edpb.europa.eu