Dane biometryczne to dane szczególnej kategorii, które mogą być przetwarzane w szczególnych warunkach. Interesująca sprawa w tym zakresie wydarzyła się w Grecji. Na skutek skarg organizacji zajmujących się ochroną danych osobowych m.in. Homo Digitalis, grecki organ nadzorczy (Hellenic Data Protection Authority- HDPA) podjął wobec spółki Clearview AI postępowanie skargowe. Z punktu widzenia administratora, czyli podmiotu działającego w obszarze techniki rozpoznawania twarzy i zastosowania tej metody w organach ścigania nie było to pierwsze postępowanie z tego zakresu w Europie.
Zasada terytorialności w praktyce
Pierwszą kwestią jaką zajął się grecki organ było ustalenie czy może się podjąć postępowania wobec amerykańskiej spółki, która nie ma swojego przedstawicielstwa w Europie. Dodatkowo firma twierdziła, że nie ma klientów w Grecji i generalnie w Europie i nie podejmuje żadnych działań, które wchodzą w zakres RODO. HDPA jednak wykazało, że Clearview używa swojego oprogramowania w stosunku do obywateli Grecji i używa danych do „karmienia” swoich algorytmów. W takim przypadku stosujemy RODO. Co ważne, dodatkowo organ nadzorczy na mocy art. 27 RODO wezwał naruszyciela do ustanowienia pełnomocnika w Europie.
Postępowanie skargowe
Clearview przetwarza dane osobowe poprzez technikę „web scrappingu”, czyli zbieranie ogólnodostępnych zdjęć osób z mediów społecznościowych takich jak Facebook czy Youtube. Następnie takie dane są przerabiane przez specjalne algorytmy i wykorzystywane do rozpoznawania twarzy. Bez wątpienia takie działanie spełnia definicję przetwarzania danych biometrycznych z art. 4 pkt. 14 i art. 9 RODO. Grecki organ nadzoru wykazał że Clearview nie miało żadnych podstaw prawnych do legalnego przetwarzania takich danych. W grę nie wchodziła zgoda ani żywotny interes.
Rażące naruszenie prywatności
Szczególną kwestią na jaką zwrócił uwagę HDPA jest prawo do prywatności. Algorytmy Clearview nie były wykorzystywane jedynie do tworzenia bazy rozpoznawania twarzy. Co jest szczególnie niepokojące, dane ściągnięte z mediów społecznościowych zawierały również dane o zwyczajach i preferencjach osób, których dotyczyły. Jak wskazał organ nadzoru, takie dane pozwalały na skuteczne profilowanie dotkniętych osób. Następnie do tych danych mieli dostęp klienci Clearview AI, organy ścigania czy służby specjalne, które mogły wykorzystywać je do inwigilacji.
Zasada przejrzystości oraz prawo do dostępu
Kolejnymi naruszeniem na jaki zwrócił uwagę HDPA było naruszenie zasady przejrzystości wyrażonej w art. 5 ust. 1 lit. a. Clearview nie informowało osoby od której dane zbiera ani o tym że pozyskuje dane ani co z nimi robi. Dodatkowo spółka naruszała prawo do dostępu wskazane w art. 12 i 15 RODO uniemożliwiając uzyskanie wiedzy przez skarżących o celach przetwarzania, retencji itp.
Kolejny krok ku lepszej ochronie praw
Grecki organ nadzoru kończąc postępowanie w tej sprawie nałożył astronomiczną karę 20 milionów euro na Clearview AI oraz zabronił wykorzystywania danych osób znajdujących się na terytorium Grecji. Jak pokazuje ta decyzja oraz decyzje innych organów europejskich ( brytyjski organ nadzoru nałożył karę w wysokości 7 mln. euro) proceder bezprawnego wykorzystywania danych osobowych obywateli Unii Europejskiej jest ścigany a organy starają się go skutecznie ukrócić. Dodatkowo ta sprawa pokazuje jak ważne jest uregulowanie transferów danych z UE do Stanów Zjednoczonych, aby prawa obywateli były dostatecznie chronione.
Treść decyzji w j. greckim:
https://www.dpa.gr/sites/default/files/2022-07/35_2022%20anonym.pdf
