Obowiązek informacyjny rodo

KOMPAS FORSAFE 2022/19

Kraj:

Włochy

Data wydania decyzji:

10.02.2022 r.

Podmiot kontrolowany:

Clearview AI Inc.

Wysokość kary (EUR):

20.000.000

Podstawa prawna naruszenia

Art. 5 ust 1 lit. a), b), e), art. 6, art. 9, art. 12, art. 13, art. 14, art. 15, art. 27 RODO.

Nieprzestrzeganie ogólnych zasad przetwarzania danych.

 

Przyczyna naruszenia

Naruszenie wynikało z niezgodnego z prawem przetwarzania danych osobowych przez firmę Clearview AI Inc., gdyż firma zbierała i przetwarzała dane biometryczne (obrazy twarzy) bez odpowiedniej podstawy prawnej.

 

Opis wydarzeń

  1. Wprowadzenie: Czynności kontrolne zostały zainicjowane na podstawie doniesień prasowych oraz skarg złożonych przez osoby fizyczne i organizacje zajmujące się ochroną prywatności.
  2. Czynności kontrolne: W toku czynności kontrolnych stwierdzono, że Clearview AI zbierała obrazy z internetu (m.in. z mediów społecznościowych) za pomocą technik web scraping i przetwarzała je w celu stworzenia bazy danych do rozpoznawania twarzy.
  3. Odpowiedzi Clearview AI: Firma argumentowała, że nie podlega przepisom RODO, ponieważ nie oferuje swoich usług na terenie Unii Europejskiej i nie monitoruje zachowań osób znajdujących się w Unii Europejskiej. Jednakże dowody wskazywały na to, że Clearview AI przetwarzała dane osób z Unii Europejskiej.
  4. Ocena prawna: Stwierdzono, że Clearview AI naruszyła przepisy RODO, w tym zasady dotyczące legalności, przejrzystości, ograniczenia celu, minimalizacji danych oraz praw osób, których dane dotyczą. Ponadto Clearview AI nie wyznaczyła przedstawiciela na terenie Unii Europejskiej, który odpowiadałby za współdziałanie w jej imieniu w zakresie obowiązków wynikających z RODO oraz w zakresie współpracy z organem nadzorczym.

 

Źródło

Pełna treść decyzji organu nadzorczego

 

Aby uniknąć podobnych naruszeń, zalecamy:

 Zgodnie z „Wytycznymi dotyczącymi rozpoznawania twarzy” opracowanymi przez Komitet Konsultacyjny Konwencji o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych Konwencja 108: 

  1. przetwarzanie szczególnych kategorii danych, takich jak dane biometryczne, jest dozwolone tylko wtedy, gdy takie przetwarzanie opiera się na odpowiedniej podstawie prawnej, a prawo krajowe zapewnia uzupełniające i odpowiednie zabezpieczenia, 
  2. konieczność stosowania technologii rozpoznawania twarzy należy oceniać wraz z proporcjonalnością do celu i wpływem na prawa osób, których dane dotyczą, 
  3. wykorzystywanie obrazów cyfrowych, które zostały umieszczone w Internecie, w tym w mediach społecznościowych lub internetowych witrynach do zarządzania zdjęciami, lub zostały przechwycone przez obiektyw monitorujących kamer wideo, nie może być uznane za zgodne z prawem wyłącznie na tej podstawie, że dane osobowe zostały w sposób oczywisty udostępnione przez osoby, których dane dotyczą, 
  4. przetwarzanie danych biometrycznych przez technologie rozpoznawania twarzy do celów identyfikacji w kontrolowanym lub niekontrolowanym środowisku powinno być ogólnie ograniczone do celów egzekwowania prawa oraz powinno być prowadzone wyłącznie przez właściwe organy w zakresie bezpieczeństwa, 
  5. wykorzystywanie technologii rozpoznawania twarzy przez podmioty prywatne, z wyjątkiem podmiotów prywatnych uprawnionych do wykonywania podobnych zadań jak organy publiczne, wymaga wyraźnej, konkretnej, dobrowolnej i świadomej zgody osób, których dane dotyczą, których dane biometryczne są przetwarzane, 
  6. podmioty prywatne nie mogą wdrażać technologii rozpoznawania twarzy w niekontrolowanych środowiskach, takich jak centra handlowe, zwłaszcza w celu identyfikacji osób będących przedmiotem zainteresowania, do celów marketingowych lub do celów bezpieczeństwa prywatnego.

 

Zgodnie z Rezolucją Parlamentu Europejskiego z dnia 6 października 2021 r. w sprawie sztucznej inteligencji w prawie karnym i jej stosowania przez policję i organy wymiaru sprawiedliwości w sprawach karnych: 

  1. korzystanie z systemów rozpoznawania twarzy przez organy ścigania powinno być ograniczone do ściśle określonych celów przy pełnym poszanowaniu zasad proporcjonalności i konieczności oraz obowiązującego prawa, 
  2. wykorzystanie technologii rozpoznawania twarzy musi co najmniej spełniać wymogi minimalizacji danych, dokładności danych, ograniczenia ich przechowywania, bezpieczeństwa danych i odpowiedzialności za nie, a także być zgodne z prawem, sprawiedliwe, przejrzyste i zgodne z konkretnym, wyraźnym i uzasadnionym celem, który jest jasno określony w obowiązującym prawie, 
  3. niedopuszczalne jest wykorzystywaniem przez organy ścigania i służby wywiadowcze prywatnych baz danych służących do rozpoznawania twarzy pozyskanych nielegalnie z sieci społecznościowych i innych miejsc ogólnie dostępnych w Internecie, 
  4. niedopuszczalne jest stosowanie w przestrzeni publicznej systemów automatycznej analizy i/lub rozpoznawania nie tylko twarzy, ale także innych cech ludzkich takich jak chód, odciski palców, DNA, głos oraz inne sygnały biometryczne i behawioralne, 
  5. stosowanie identyfikacji biometrycznej w kontekście ścigania przestępstw i sądownictwa powinno zawsze być uznawane za „wysokie ryzyko” i w związku z tym podlegać dodatkowym wymogom, zgodnie z zaleceniami powołanej przez Komisję grupy ekspertów wysokiego szczebla ds. sztucznej inteligencji. 

 

Jeśli potrzebujesz wsparcia w zakresie ochrony danych osobowych, zapraszamy do kontaktu

    * dane obowiązkowe.
    Administratorem danych osobowych jest FORSAFE Sp. z o.o. z siedzibą w Łodzi, przy ul. 1 Maja 31/33. Dane osobowe będą przetwarzane wyłącznie w prawnie usprawiedliwionym celu administratora danych. Każdemu przysługuje prawo dostępu do treści swoich danych i prawo poprawiania danych. Podanie danych osobowych jest dobrowolne ale konieczne dla świadczenia usług.

    Obowiązek informacyjny RODO