GDPR.pl – ochrona danych osobowych w UE, RODO, IOD

Gigant technologiczny ukarany 20 milionami euro kary

Banknoty EURO z młotkiem sędziego

Gigant technologiczny ukarany karą 200 mln EURO kary

Dane biometryczne to dane szczególnej kategorii, które mogą być przetwarzane w szczególnych warunkach. Interesująca sprawa w tym zakresie wydarzyła się w Grecji. Na skutek skarg organizacji zajmujących się ochroną danych osobowych m.in. Homo Digitalis, grecki organ nadzorczy (Hellenic Data Protection Authority- HDPA) podjął wobec spółki Clearview AI postępowanie skargowe. Z punktu widzenia administratora, czyli podmiotu działającego w obszarze techniki rozpoznawania twarzy i zastosowania tej metody w organach ścigania nie było to pierwsze postępowanie z tego zakresu w Europie.

Zasada terytorialności w praktyce

Pierwszą kwestią jaką zajął się grecki organ było ustalenie czy może się podjąć postępowania wobec amerykańskiej spółki, która nie ma swojego przedstawicielstwa w Europie. Dodatkowo firma twierdziła, że nie ma klientów w Grecji i generalnie w Europie i nie podejmuje żadnych działań, które wchodzą w zakres RODO. HDPA jednak wykazało, że Clearview używa swojego oprogramowania w stosunku do obywateli Grecji i używa danych do „karmienia” swoich algorytmów. W takim przypadku stosujemy RODO. Co ważne, dodatkowo organ nadzorczy na mocy art. 27 RODO wezwał naruszyciela do ustanowienia pełnomocnika w Europie.

Postępowanie skargowe

Clearview przetwarza dane osobowe poprzez technikę „web scrappingu”, czyli zbieranie ogólnodostępnych zdjęć osób z mediów społecznościowych takich jak Facebook czy Youtube. Następnie takie dane są przerabiane przez specjalne algorytmy i wykorzystywane do rozpoznawania twarzy. Bez wątpienia takie działanie spełnia definicję przetwarzania danych biometrycznych z art. 4 pkt. 14 i art. 9 RODO. Grecki organ nadzoru wykazał że Clearview nie miało żadnych podstaw prawnych do legalnego przetwarzania takich danych. W grę nie wchodziła zgoda ani żywotny interes.

Rażące naruszenie prywatności

Szczególną kwestią na jaką zwrócił uwagę HDPA jest prawo do prywatności. Algorytmy Clearview nie były wykorzystywane jedynie do tworzenia bazy rozpoznawania twarzy. Co jest szczególnie niepokojące, dane ściągnięte z mediów społecznościowych zawierały również dane o zwyczajach i preferencjach osób, których dotyczyły. Jak wskazał organ nadzoru, takie dane pozwalały na skuteczne profilowanie dotkniętych osób. Następnie do tych danych mieli dostęp klienci Clearview AI, organy ścigania czy służby specjalne, które mogły wykorzystywać je do inwigilacji.

Kara za rozpoznawanie twarzy

Zasada przejrzystości oraz prawo do dostępu

Kolejnymi naruszeniem na jaki zwrócił uwagę HDPA było naruszenie zasady przejrzystości wyrażonej w art. 5 ust. 1 lit. a. Clearview nie informowało osoby od której dane zbiera ani o tym że pozyskuje dane ani co z nimi robi. Dodatkowo spółka naruszała prawo do dostępu wskazane w art. 12 i 15 RODO uniemożliwiając uzyskanie wiedzy przez skarżących o celach przetwarzania, retencji itp.

Kara rekordowej wysokości za naruszenie przepisów RODO?

Kolejny krok ku lepszej ochronie praw

Grecki organ nadzoru kończąc postępowanie w tej sprawie nałożył astronomiczną karę 20 milionów euro na Clearview AI oraz zabronił wykorzystywania danych osób znajdujących się na terytorium Grecji. Jak pokazuje ta decyzja oraz decyzje innych organów europejskich ( brytyjski organ nadzoru nałożył karę w wysokości 7 mln. euro) proceder bezprawnego wykorzystywania danych osobowych obywateli Unii Europejskiej jest ścigany a organy starają się go skutecznie ukrócić. Dodatkowo ta sprawa pokazuje jak ważne jest uregulowanie transferów danych z UE do Stanów Zjednoczonych, aby prawa obywateli były dostatecznie chronione.

Transfer danych osobowych do USA może być łatwiejszy

Treść decyzji w j. greckim:

https://www.dpa.gr/sites/default/files/2022-07/35_2022%20anonym.pdf