Europejska Rada Ochrony Danych przyjęła opinię w sprawie stosowania technologii rozpoznawania twarzy przez operatorów portów lotniczych i przedsiębiorstwa lotnicze w celu usprawnienia przepływu pasażerów w portach lotniczych. Rada wypowiedziała się w kwestii zgodności systemów automatycznego rozpoznawania twarzy na lotniskach z RODO.
Opinia EROD została wydana w trybie art. 64 ust. 2 RODO na wniosek francuskiego organu nadzorczego (CNIL). Dotyczy ona zgodności systemów automatycznego rozpoznawania twarzy na lotniskach z regułami RODO tj.:
zasadą ograniczenia przechowywania (art. 5 ust. 1 lit. e) RODO),
zasadą integralności i poufności (art. 5 ust. 1 lit. f) RODO),
uwzględnianiem ochrony danych w fazie projektowania i domyślną ochroną danych czyli privacy by design i privacy by default (art. 25 RODO),
bezpieczeństwem przetwarzania (art. 32 RODO).
W ocenie EROD to, czy na lotniskach można stosować automatyczne rozpoznawanie twarzy, jest determinowane regulacjami krajowymi. Otóż jeśli przepisy krajowe obligują operatorów portów lotniczych i przedsiębiorstwa lotnicze do sprawdzania, czy nazwisko na karcie pokładowej pasażera odpowiada nazwisku na jego dokumencie tożsamości, wówczas konieczna staje się weryfikacja tożsamości pasażera. W takim przypadku do weryfikacji można wykorzystać dane biometryczne (twarz) pasażera poprzez jej skanowanie. W przeciwnym razie stosowanie systemu rozpoznawania twarzy prowadziłoby do nadmiarowego przetwarzania danych osobowych.
Przestrzeganie reguły minimalizmu jest istotne tym bardziej, że przetwarzanie danych biometrycznych jako wrażliwych wiąże się dużym ryzykiem np. kradzieży tożsamości.
Ważnym aspektem jest także przechowywanie danych biometrycznych pasażerów. EROD za właściwe uznała rozwiązania polegające na tym, że dane biometryczne pozyskane w wyniku skanowania twarzy są przechowywane przez konkretną osobę lub w centralnej bazie danych, ale z kluczem szyfrującym dostępnym wyłącznie dla tej osoby. Sposób ten został uznany za adekwatny do poziomu ryzyka wiążącego się z przetwarzaniem tych danych osobowych. Zakwestionowano natomiast rezygnację z udostępniania klucza szyfrującego osobie fizycznej.
Jak wskazuje EROD, dane biometryczne pasażerów powinny być przechowywane nie dłużej niż jest to konieczne do realizacji celu przetwarzania.
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl
