Obowiązek informacyjny rodo

KOMPAS FORSAFE 2022/31

Kraj:

Wielka Brytania

Data wydania decyzji:

18.05.2022 r.

Podmiot kontrolowany:

Clearview Al Inc.

Wysokość kary (EUR):

9.000.000

Podstawa prawna naruszenia

Art. 5 ust. 1 lit. a), e), art. 6, art. 9, art. 14, art. 15, art. 16, art. 17, art. 21, art. 22, art. 35 RODO.

Nieprzestrzeganie ogólnych zasad przetwarzania danych.

 

Przyczyna naruszenia

Clearview AI Inc. naruszyło przepisy dotyczące ochrony danych osobowych poprzez przetwarzanie danych osobowych bez odpowiedniej podstawy prawnej, brak przejrzystości, niewłaściwe przechowywanie danych oraz brak przeprowadzenia oceny skutków dla ochrony danych.

 

Opis wydarzeń

  1. Czynności kontrolne: W toku czynności kontrolnych stwierdzono, że Clearview AI zbierała obrazy z internetu (m.in. z mediów społecznościowych) za pomocą technik web scraping i przetwarzała je w celu stworzenia bazy danych do rozpoznawania twarzy.
  2. Ocena prawna: Stwierdzono, że Clearview AI naruszyła przepisy RODO, w tym zasady dotyczące legalności, przejrzystości, ograniczenia celu, minimalizacji danych oraz praw osób, których dane dotyczą. Ponadto Clearview AI nie przeprowadził oceny skutków dla ochrony danych.
  3. Skala naruszenia: baza danych Clearview zawiera około 20 miliardów obrazów.

 

Źródło

Pełna treść decyzji organu nadzorczego

 

Aby uniknąć podobnych naruszeń, zalecamy:

Zgodnie z „Wytycznymi dotyczącymi rozpoznawania twarzy” opracowanymi przez Komitet Konsultacyjny Konwencji o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych Konwencja 108: 

  1. przetwarzanie szczególnych kategorii danych, takich jak dane biometryczne, jest dozwolone tylko wtedy, gdy takie przetwarzanie opiera się na odpowiedniej podstawie prawnej, a prawo krajowe zapewnia uzupełniające i odpowiednie zabezpieczenia, 
  2. konieczność stosowania technologii rozpoznawania twarzy należy oceniać wraz z proporcjonalnością do celu i wpływem na prawa osób, których dane dotyczą, 
  3. wykorzystywanie obrazów cyfrowych, które zostały umieszczone w Internecie, w tym w mediach społecznościowych lub internetowych witrynach do zarządzania zdjęciami, lub zostały przechwycone przez obiektyw monitorujących kamer wideo, nie może być uznane za zgodne z prawem wyłącznie na tej podstawie, że dane osobowe zostały w sposób oczywisty udostępnione przez osoby, których dane dotyczą, 
  4. przetwarzanie danych biometrycznych przez technologie rozpoznawania twarzy do celów identyfikacji w kontrolowanym lub niekontrolowanym środowisku powinno być ogólnie ograniczone do celów egzekwowania prawa oraz powinno być prowadzone wyłącznie przez właściwe organy w zakresie bezpieczeństwa, 
  5. wykorzystywanie technologii rozpoznawania twarzy przez podmioty prywatne, z wyjątkiem podmiotów prywatnych uprawnionych do wykonywania podobnych zadań jak organy publiczne, wymaga wyraźnej, konkretnej, dobrowolnej i świadomej zgody osób, których dane dotyczą, których dane biometryczne są przetwarzane, 
  6. podmioty prywatne nie mogą wdrażać technologii rozpoznawania twarzy w niekontrolowanych środowiskach, takich jak centra handlowe, zwłaszcza w celu identyfikacji osób będących przedmiotem zainteresowania, do celów marketingowych lub do celów bezpieczeństwa prywatnego.

 

Zgodnie z Rezolucją Parlamentu Europejskiego z dnia 6 października 2021 r. w sprawie sztucznej inteligencji w prawie karnym i jej stosowania przez policję i organy wymiaru sprawiedliwości w sprawach karnych: 

  1. korzystanie z systemów rozpoznawania twarzy przez organy ścigania powinno być ograniczone do ściśle określonych celów przy pełnym poszanowaniu zasad proporcjonalności i konieczności oraz obowiązującego prawa, 
  2. wykorzystanie technologii rozpoznawania twarzy musi co najmniej spełniać wymogi minimalizacji danych, dokładności danych, ograniczenia ich przechowywania, bezpieczeństwa danych i odpowiedzialności za nie, a także być zgodne z prawem, sprawiedliwe, przejrzyste i zgodne z konkretnym, wyraźnym i uzasadnionym celem, który jest jasno określony w obowiązującym prawie, 
  3. niedopuszczalne jest wykorzystywaniem przez organy ścigania i służby wywiadowcze prywatnych baz danych służących do rozpoznawania twarzy pozyskanych nielegalnie z sieci społecznościowych i innych miejsc ogólnie dostępnych w Internecie, 
  4. niedopuszczalne jest stosowanie w przestrzeni publicznej systemów automatycznej analizy i/lub rozpoznawania nie tylko twarzy, ale także innych cech ludzkich takich jak chód, odciski palców, DNA, głos oraz inne sygnały biometryczne i behawioralne, 
  5. stosowanie identyfikacji biometrycznej w kontekście ścigania przestępstw i sądownictwa powinno zawsze być uznawane za „wysokie ryzyko” i w związku z tym podlegać dodatkowym wymogom, zgodnie z zaleceniami powołanej przez Komisję grupy ekspertów wysokiego szczebla ds. sztucznej inteligencji. 

 

Jeśli potrzebujesz wsparcia w zakresie ochrony danych osobowych, zapraszamy do kontaktu

    * dane obowiązkowe.
    Administratorem danych osobowych jest FORSAFE Sp. z o.o. z siedzibą w Łodzi, przy ul. 1 Maja 31/33. Dane osobowe będą przetwarzane wyłącznie w prawnie usprawiedliwionym celu administratora danych. Każdemu przysługuje prawo dostępu do treści swoich danych i prawo poprawiania danych. Podanie danych osobowych jest dobrowolne ale konieczne dla świadczenia usług.

    Obowiązek informacyjny RODO