20 000 000 euro kary za naruszenie legalności i transparentności
W lipcu br. Grecki Urząd Ochrony Danych Osobowych wydał decyzję wobec amerykańskiej firmy Clearview AI. Organ nadzorczy zbadał doniesienie jednego z greckich obywateli, który próbował uzyskać informację o przetwarzaniu jego zdjęcia przez firmę z USA.
W Judykatura.pl można zapoznać się z polską wersją językową decyzji, w której wskazana firma otrzymała karę 20 000 000 euro!
Clearview AI to amerykańska firma zajmująca się rozpoznawaniem twarzy, dostarczająca oprogramowanie firmom, organom ścigania, uniwersytetom i osobom fizycznym. Algorytm firmy dopasowuje twarze do bazy danych zawierającej ponad 20 miliardów obrazów zindeksowanych z Internetu, w tym z aplikacji społecznościowych. Rozwiązania firm Clearview umożliwiają agencjom zdobywanie informacji i zapobieganie przestępczości poprzez ujawnianie potencjalnych ryzyk.
Według greckiego organu ochrony danych osobowych gdy użytkownik usług Clearview chciał zidentyfikować osobę, publikuje jej zdjęcie i przeprowadza wyszukiwanie. Clearview analizuje ten obraz i wyprowadza “wektor twarzy” na obrazie, który następnie haszuje i porównuje ze wszystkimi haszami wektorów przechowywanych w jego bazie danych.
System informatyczny wyodrębnia każdy zidentyfikowany obraz ze swojej bazy danych i udostępnia listę wyników, zawierającą wszystkie pasujące obrazy i metadane. Jeśli użytkownik kliknie którykolwiek z nich wyniki, przekierowuje do oryginalnej strony źródłowej obrazu.
Aktualności Plus 360 dni
- Zapoznaj się z argumentacją Urzędu, Sądu czy Trybunału
- Fachowe i czytelne podsumowanie omawianego orzeczenia
- Dostęp do wszystkich aktualności na stronie
- Jako pierwszy masz dostęp do ważnych argumentów
Wybieram
Aktualności Plus 30 dni
Przez 30 dni masz dostęp do najnowszych aktualności z RODO
- Pierwszy zapoznasz się z argumentacją Urzędu, Sądu czy Trybunału – nie czekaj na podsumowania miesiąca, które wpada do spamu
- Każda aktualność to fachowe i czytelne podsumowanie omawianego orzeczenia, decyzji czy wytycznych wraz z dostępem do jego treści w serwisie Judykatura.pl
- Jedno miejsce, w którym zapoznasz się z najważniejszymi argumentami orzeczenia oraz z jego treścią niezależnie od tego, z jakiego źródła ono pochodzi
- Utrzymaj zgodność z RODO dzięki byciu na bieżąco z orzecznictwem RODO
Wybieram
Wyszukiwarka Plus 360 dni
- Dostęp do Wyszukiwarka 360 Dni
- Dostęp do Aktualności Plus 360 Dni
- 3 konsultacje RODO w ramach subskrypcji
Wybieram
Organ nadzorczy rozpoczął uzasadnienie swojej decyzji od stwierdzenia, że firma w USA, mimo braku oddziału na terenie obowiązywania RODO, ani swojego przedstawiciela zgodnie z art. 27 RODO, podlega terytorialnemu zakresowi stosowania RODO:
ze względu na monitorowanie zachowania osób, gdy do zachowania tego dochodzi w Unii (art. 3 ust. 2 lit. b RODO)
oraz wskazał, że zgodnie z:
Wytycznymi 3/2018 w sprawie terytorialnego zakresu stosowania RODO (art. 3 – wersja 2.0, 12 listopada 2019 r.) RODO wyjaśnia, że „w przeciwieństwie do przepisu art. 3 ust. 2 lit. a), ani art. 3 ust. 2 lit. b) ani motyw 24 RODO nie ustanawia wyraźnych wymagań stopnia „zamiaru ukierunkowania” ze strony administratora lub przetwarzającego w celu ustalenia, czy czynnoś śledzenia może spowodować zastosowanie RODO w.
Jednak używając słowa „monitorowanie” domniemywa się, że administrator ma na myśli konkretną intencję dla zbierania i dalszego wykorzystywania odpowiednich danych na temat zachowanie osoby w UE. EROD uważa, że nie każdy online rozważa się gromadzenie lub analizę danych osobowych osób w UE automatycznie jako „śledzenie”. Należy wziąć pod uwagę cel osoby odpowiedzialnej za przetwarzanie, a w szczególności w celu późniejszego wykorzystania analizy behawioralnej lub techniki profilowania, które obejmują takie dane. EROD bierze pod uwagę brzmienie motywu 24 RODO, w którym stwierdza się, że w celu ustalenia, czy przetwarzanie można uznać, że monitoruje zachowanie osoby, której dane dotyczą, kluczowym parametrem jest: śledzenie osób online, w tym potencjalnych późniejsze wykorzystanie technik profilowania.”.
Konsekwencją przeprowadzonego dochodzenia było:
nakazuje firmie Clearview AI, Inc. na podstawie art. 58 ust. 2 lit. c RODO spełnienia żądania osoby, której dane dotyczą, wynikającego z praw przysługujących jej na mocy niniejszego rozporządzenia
wprowadza wobec firmy Clearview AI, Inc. na podstawie art. 58 ust. 2 lit. f RODO czasowy zakaz gromadzenia i przetwarzanie danych osobowych podmiotów znajdujących się na terytorium greckim
zleca firmie Clearview AI, Inc. na podstawie art. 58 ust. 2 lit. g RODO usunięcia danych osobowych osób, które znajdują się na terytorium Grecji, a ich dane osobowe są przetwarzane przez wskazany podmiot
Aktualności Plus 360 dni
- Zapoznaj się z argumentacją Urzędu, Sądu czy Trybunału
- Fachowe i czytelne podsumowanie omawianego orzeczenia
- Dostęp do wszystkich aktualności na stronie
- Jako pierwszy masz dostęp do ważnych argumentów
Wybieram
Aktualności Plus 30 dni
Przez 30 dni masz dostęp do najnowszych aktualności z RODO
- Pierwszy zapoznasz się z argumentacją Urzędu, Sądu czy Trybunału – nie czekaj na podsumowania miesiąca, które wpada do spamu
- Każda aktualność to fachowe i czytelne podsumowanie omawianego orzeczenia, decyzji czy wytycznych wraz z dostępem do jego treści w serwisie Judykatura.pl
- Jedno miejsce, w którym zapoznasz się z najważniejszymi argumentami orzeczenia oraz z jego treścią niezależnie od tego, z jakiego źródła ono pochodzi
- Utrzymaj zgodność z RODO dzięki byciu na bieżąco z orzecznictwem RODO
Wybieram
Wyszukiwarka Plus 360 dni
- Dostęp do Wyszukiwarka 360 Dni
- Dostęp do Aktualności Plus 360 Dni
- 3 konsultacje RODO w ramach subskrypcji
Wybieram
I oczywiście wymiar finansowy też jest istotny – organ:
nakazuje spółce będącej przedmiotem skargi o nazwie Clearview AI, Inc. z siedzibą w USA (…) jako odpowiedzialnej za przetwarzanie, na podstawie art. 58 ust. 2 lit. i RODO, łączną grzywną w wysokości dwudziestu milionów (20 000 000 euro) euro za naruszenie zasad legalności i transparentność (art. 5 ust. 1 a, art. 6, art. 9 RODO) oraz niewykonania swoich obowiązków wynikających z art. 12, art. 14, art. 15 oraz art. 27 RODO.
Z uwagą śledzić będziemy dalsze informację o przedmiotowej decyzji – szczególnie w zakresie możliwości wyegzekwowania wskazanej kary. Złym znakiem jest, że administrator danych – mimo odebrania zawiadomienia o toczącym się postępowaniu – nie wykazał jakiegokolwiek zainteresowania, ani nie wziął udziału w postępowaniu.