Na początku września br. holenderski organ nadzorczy (Autoriteit Persoonsgegevens) poinformował, że nałożył karę pieniężną na spółkę Clearview AI za niezgodne z prawem przetwarzanie na masową skalę danych osobowych w zakresie wizerunków osób. Kwota kary robi wrażenie – 30,5 miliona euro (ponad 130 milionów złotych). Co ciekawe, regulator zapowiedział nałożenie kolejnej kary w przypadku, gdy ukarana spółka nie dostosuje się do obowiązujących przepisów.
Spółka identyfikuje osoby ze zdjęć
Clearview AI to amerykańska spółka specjalizująca się w dostarczaniu oprogramowania umożliwiającego rozpoznawanie twarzy, w szczególności dla agencji wywiadowczych i organów ścigania. W uproszczeniu model działania spółki jest prosty. Automatycznie pobiera ona zdjęcia osób z Internetu, tworząc gigantyczną bazę zawierającą te dane osobowe. Według doniesień, aktualnie spółka dysponuje bazą danych zawierającą ponad 30 miliardów zdjęć. Następnie, pozyskane z sieci obrazy są przekształcane w unikalne kody biometryczne. Wszystko – jak można się domyślić – odbywa się bez wiedzy i zgody osób, których zdjęcia są pozyskiwane i dalej wykorzystywane. Dzięki tak pokaźnej bazie danych, spółka jest w stanie wyszukać i zidentyfikować osoby, które znajdują się np. na nagraniach z kamer dostarczonych przez jej klientów.
Organ nadzorczy: inwazyjna technologia
Prezes holenderskiego organu nadzorczego (Aleid Wolfsen) wskazał, że technologie umożliwiające rozpoznawanie twarzy mogą być pomocne w zakresie bezpieczeństwa i ścigania przestępców przez uprawnione organy. Zauważył on jednak, że takie technologie nie mogą być wykorzystywane przez podmioty komercyjne, zaś organy ścigania powinny korzystać z nich jedynie w wyjątkowych przypadkach, pod warunkiem, że zarówno zarządzanie oprogramowaniem, jak i bazą danych będzie dokonywane przez właściwe organy ścigania.
Regulator dość dosadnie wskazał, że: „rozpoznawanie twarzy to wyjątkowo inwazyjna technologia, której nie można po prostu udostępniać każdemu na świecie. Jeśli twoje zdjęcie znajduje się w Internecie możesz zostać dodany do bazy danych Clearview i być śledzony. To nie jest dystopijna wizja rodem z horroru ani coś, co dzieje się tylko w Chinach”. Ciężko nie zgodzić się z tym stanowiskiem.
Spółka przymyka oko na RODO
Organ nadzorczy wskazał, że w jego ocenie ukarana spółka nigdy nie powinna była tworzyć bazy danych ze zdjęciami osób, zawierającej również unikalne kody biometryczne oraz powiązane z nimi informacje. Należy podkreślić, że spółka przetwarza w systemie dane szczególnych kategorii, tj. dane biometryczne w celu jednoznacznego zidentyfikowania osoby fizycznej, co w świetle przepisów RODO jest co do zasady zabronione.
Jak by tego było mało, regulator ustalił, że spółka w niewystarczającym stopniu (lub w ogóle) nie informuje osób o tym, że pozyskała i przetwarza ich dane osobowe, w tym dane szczególnych kategorii (dane biometryczne). Jednocześnie, według doniesień spółka niechętnie realizuje prawa osób, które przysługują im na podstawie przepisów RODO, w tym prawa otrzymania informacji na temat przetwarzania ich danych osobowych (art. 15 RODO).
Brak poprawy = dodatkowa kara
Pomimo przeprowadzenia postępowania przez holenderskiego regulatora i nałożenia kary, spółka najprawdopodobniej kontynuuje swoją działalność na dotychczasowych zasadach, dopuszczając się dalszych naruszeń w zakresie ochrony danych osobowych. Organ nadzorczy co prawda nakazał administratorowi usunięcie stwierdzonych naruszeń, niemniej równocześnie zapowiedział, że w razie niedostosowania się spółki do obowiązujących przepisów prawa, może ona liczyć się z kolejnymi karami, które mogą sięgnąć nawet 5 milionów euro (ponad 21 milionów złotych).
Źródło:
https://therecord.media/clearview-ai-fined-34-million-dutch-data-privacy-watchdog Początek formularza
Dół formularza
Oświadczenie organu nadzorczego: