Arvamuses analüüsitakse töötlemise vastavust isikuandmete kaitse üldmääruse (IKÜM) sätetele. Analüüsitakse andmetöötluse vastavust säilitamise piirangu, tervikluse ja konfidentsiaalsuse, lõimitud ja vaikimisi andmekaitse ning töötlemise turvalisuse põhimõtetele.
Üha enam lennujaamade operaatoreid ja lennufirmasid üle maailma katsetavad näotuvastussüsteeme, mis võimaldavad reisijatel kergemini läbida erinevaid lennujaama kontrollpunkte.
Euroopa Liidul puudub ühtne õiguslik nõue, mille kohaselt lennujaamad ja lennuettevõtjad peaksid kontrollima, kas reisija pardakaardil olev nimi vastab tema isikut tõendaval dokumendil olevale nimele, seega selle suhtes võidakse kohaldada siseriiklikke norme. Seega, kui reisijate isikusamasuse kontrollimist ametliku isikut tõendava dokumendiga ei nõuta, ei tohiks sellist kontrollimist teha ka biomeetriliste andmete abil, kuna see tooks kaasa andmete ülemäärase töötlemise.
Euroopa Andmekaitsenõukogu kaalus oma arvamuses reisijate biomeetriliste andmete töötlemise vastavust nelja eri liiki säilitamislahendustele. Alates lahendustest, mis säilitavad biomeetrilisi andmeid ainult üksikisiku käes, kuni lahendusteni, mis tuginevad erineval viisil tsentraliseeritud säilitamisarhitektuurile. Kõigil juhtudel tuleks töödelda ainult nende reisijate biomeetrilisi andmeid, kes registreeruvad aktiivselt ja nõustuvad oma isikuandmete töötlemisega reisijatevoo suunamise eesmärgil.
Euroopa Andmekaitsenõukogu leidis, et ainsad andmete säilituslahendused, mis võiksid olla kooskõlas IKÜM-i sätetega, on lahendused, mille puhul biomeetrilisi andmeid säilitatakse üksikisiku käes või keskandmebaasis, kuid krüpteerimisvõti on ainult üksikisiku käes. Need säilitamislahendused, kui neid rakendatakse koos soovitatavate minimaalsete kaitsemeetmete loeteluga, on ainsad meetodid, mis piisavalt tasakaalustavad põhiõiguste riive intensiivsust, pakkudes inimestele suurimat võimalikku kontrolli oma biomeetriliste andmete üle.
Euroopa Andmekaitsenõukogu leidis, et lahendused, mis põhinevad andmete säilitamisel keskses andmebaasis kas lennujaamas või pilves ilma üksikisiku käes olevate krüpteerimisvõtmeteta, ei saa olla kooskõlas lõimitud ja vaikimisi andmekaitse nõuetega ning kui vastutav töötleja piirduks analüüsitud stsenaariumides kirjeldatud meetmetega, ei vastaks need töötlemise turvalisuse nõuetele.
Säilitamise piirangu põhimõttega seoses peavad vastutavad töötlejad tagama, et neil on kavandatud säilitamisaja kohta piisav põhjendus, ja piirduma sellega, mis on kavandatud eesmärgi saavutamiseks vajalik.
AKI tehnoloogia valdkonna juht Urmo Parm kommenteerib: „Oluline on silmas pidada, et biomeetrilised andmed on eriti tundlikud ja nende töötlemine võib tekitada üksikisikutele olulisi riske. Näotuvastustehnoloogia võib põhjustada vale negatiivseid tulemusi, kallutatust ja diskrimineerimist. Biomeetriliste andmete väärkasutusel võivad olla tõsised tagajärjed, nagu identiteedipettus või kellegi teisena esinemine.“
