Brytyjski organ ds. ochrony danych osobowych (The Information Commissioner’s Office – ICO) poinformował o zamiarze nałożenia kary finansowej na amerykańską spółkę Clearview AI Inc. Według zapowiedzi regulatora majątek giganta może pomniejszyć się aż o 17 milionów funtów (niemal 92 miliony złotych) w związku z poważnymi naruszeniami w zakresie przepisów o ochronie danych osobowych, których miał się on dopuścić.
Gigantyczna baza twarzy
Spółka Clearview AI Inc. dostarcza swoim klientom oprogramowanie, które służy do rozpoznawania twarzy. Stworzony algorytm w założeniu dopasowuje przedstawiony wizerunek twarzy do obrazów znajdujących się w bazie danych obejmującej aż ponad 10 miliardów wizerunków twarzy, pozyskanych z Internetu, w tym m.in. z aplikacji społecznościowych. System pozwala również klientom samodzielnie przeprowadzić wyszukiwanie określonego obrazu w oparciu o cechy biometryczne. Co ciekawe, z oprogramowania giganta korzystać mieli przedsiębiorcy, osoby fizyczne, uniwersytety, ale również brytyjskie organy ścigania.
Algorytm pozyskiwał dane z Facebook’a
W toku postępowania ICO ustalił, że amerykańska spółka pozyskiwała dane osobowe (wizerunek twarzy) z Facebook’a i innych popularnych serwisów społecznościowych w celu wykorzystywania ich do rozpoznawania twarzy swoich klientów. Zdaniem regulatora, gigant przetwarzał w ten sposób dane osobowe ogromnej liczby osób z UK, bez ich zgody, a nawet wiedzy.
Wspólne postępowanie
Z ogłoszenia prasowego regulatora wynika, że ICO współpracował w toku postępowania ze swoim australijskim odpowiednikiem, tj. Biurem Australijskiego Komisarza ds. Informacji (Office of the Australian Information Commissioner). W ramach tej współpracy stwierdzono, że amerykański gigant – przetwarzając dane osobowe w ww. sposób – naruszył przepisy o ochronie danych osobowych. Nie opracował on właściwych procedur wewnętrznych, jak również nie był w stanie wykazać zgodnego z prawem celu pozyskiwania i dalszego przetwarzania danych osobowych.
Lista stwierdzonych naruszeń spółki jest jednak znacznie dłuższa. ICO wskazał m.in. że gigant nie zastosował wymogów prawnych dla przetwarzania danych biometrycznych, będących danymi szczególnej kategorii. Nie spełniał obowiązków informacyjnych wobec osób, których dane dotyczą, jak również skutecznie zniechęcał te osoby do składania wniosków o usunięcie danych osobowych. W tym celu – zdaniem regulatora – administrator wymagał udostępnienia dodatkowych danych osobowych, w tym m.in. wizerunku twarzy.
Z ustaleń brytyjskiego organu nadzorczego wynika, że spółka nie oferuje już swoich usług na terytorium UK. Nie oznacza to jednak, że zaprzestała przetwarzać wcześniej zgromadzone dane osobowe Brytyjczyków, pozyskane z naruszeniem ich prawa do ochrony danych osobowych.
Lakoniczna obrona
Przedstawiciele amerykańskiej spółki – odnosząc się do poniesionych zarzutów – podnieśli, że gigant udostępnił zgromadzone dane osobowe jedynie organom ścigania. W ich ocenie, regulator błędnie zinterpretował intencję administratora, który podejmować miał działania wyłącznie w interesie obywateli UK, w tym poprzez pomoc brytyjskim organom ścigania w zwalczaniu przestępstw m.in. przeciwko dzieciom i osobom starszym. Spółka zapowiedziała, że rozważa odwołanie się od rozstrzygnięcia ICO i podjęcie dalszych działań w tej sprawie.
Biometria wywołuje zaniepokojenie
Jednym z celów opublikowania ogłoszenia o zamiarze ukarania amerykańskiego giganta miało być zapewnienie opinii publicznej, że brytyjski regulator szczegółowo analizuje potencjalne naruszenia spółki i traktuje je bardzo poważnie. Na wysokość potencjalnej kary mogą wpływać rosnące w ostatnim czasie obawy społeczne związane z coraz szerszym wykorzystywaniem technologii służących do przetwarzania danych biometrycznych, w tym dotyczących dzieci.
Brytyjski regulator poinformował, że już teraz nakazał amerykańskiej spółce zaprzestania przetwarzania danych osobowych osób z UK oraz usunięcie zgromadzonych baz danych. Ostateczna decyzja w tej sprawie, w tym w zakresie wysokości ewentualnej kary finansowej, ma zapaść w połowie 2022 r.
Źródło:
