Europeiska dataskyddsstyrelsen (European Data Protection Board, EDPB) har antagit ett yttrande om flygplatsoperatörers och flygbolags användning av teknik för ansiktsigenkänning för att effektivisera passagerarflödet på flygplatser. Detta yttrande enligt artikel 64.2 dataskyddsförordningen (GDPR), som följer på en begäran från den franska dataskyddsmyndigheten Commission Nationale de l’Informatique et des Libertés (CNIL), behandlar en fråga av allmän räckvidd som får effekter i mer än en medlemsstat.
I yttrandet analyseras huruvida behandlingen är förenlig med principen om lagringsminimering artikel 5.1 (e) GDPR, principen om integritet och konfidentialitet enligt artikel 5.1 (f) GDPR, inbyggt dataskydd och dataskydd som standard enligt artikel 25 GDPR, och säkerhet vid behandling enligt artikel 32 GPDR. Efterlevnaden av andra bestämmelser i dataskyddsförordningen, bland annat om behandlingens laglighet, omfattas inte av detta yttrande.
Det finns inget enhetligt rättsligt krav i EU på att flygplatsoperatörer och flygbolag ska kontrollera att namnet på passagerarens boardingkort stämmer överens med namnet på dennes identitetshandling, och detta kan vara föremål för nationell lagstiftning. Om det inte krävs någon verifiering av passagerarnas identitet med hjälp av en officiell identitetshandling bör därför ingen sådan verifiering med hjälp av biometri utföras, eftersom detta skulle leda till en överdriven behandling av uppgifter.
I sitt yttrande övervägde Europeiska dataskyddsstyrelsen huruvida behandlingen av passagerarnas biometriska uppgifter var förenlig med fyra olika typer av lagringslösningar, från sådana som lagrar de biometriska uppgifterna endast i händerna på den enskilde till sådana som bygger på en centraliserad lagringsarkitektur med olika modaliteter. I samtliga fall ska endast biometriska uppgifter från passagerare som aktivt anmäler sig och samtycker till att delta behandlas.
Europeiska dataskyddsstyrelsen fann att de enda lagringslösningar som skulle kunna vara förenliga med integritets- och konfidentialitetsprincipen, inbyggt dataskydd och dataskydd som standard samt säker behandling är de lösningar där de biometriska uppgifterna lagras i händerna på den enskilde eller i en central databas men där krypteringsnyckeln endast finns i händerna på den enskilde. Dessa lagringslösningar, om de genomförs med en förteckning över rekommenderade minimiskyddsåtgärder, är de enda metoder som på ett adekvat sätt uppväger behandlingens intrång genom att erbjuda enskilda personer den största kontrollen.
EDPB konstaterade att de lösningar som bygger på lagring i en centraliserad databas, antingen på flygplatsen eller i molnet, utan att den enskilde har tillgång till krypteringsnycklarna, inte kan vara förenliga med kraven på inbyggt dataskydd och dataskydd som standard och, om den personuppgiftsansvarige begränsar sig till de åtgärder som beskrivs i de analyserade scenarierna, inte skulle uppfylla kraven på säker behandling.
När det gäller principen om lagringsminimering måste de personuppgiftsansvariga se till att de har en tillräcklig motivering för den planerade lagringsperioden och begränsa den till vad som är nödvändigt för det föreslagna ändamålet.