Obowiązek informacyjny rodo

KOMPAS FORSAFE 2022/41

Kraj:

Grecja

Data wydania decyzji:

13.07.2022 r.

Podmiot kontrolowany:

Clearview Al Inc.

Wysokość kary (EUR):

20.000.000

Podstawa prawna naruszenia

Art. 5 ust. 1 lit. a), art. 6, art. 9, art. 12, art. 14, art. 15, art. 27 RODO.

Nieprzestrzeganie ogólnych zasad przetwarzania danych.

 

Przyczyna naruszenia

Naruszenie dotyczyło przetwarzania danych osobowych przez firmę Clearview AI, Inc., która nie wyznaczyła przedstawiciela w Unii Europejskiej, nie zapewniła legalnej podstawy przetwarzania danych, nie informowała podmiotów danych o przetwarzaniu ich danych oraz nie odpowiedziała na żądania dostępu do danych.

 

Opis wydarzeń

  1. Zgłoszenie naruszenia: Skarga została złożona przez organizację Homo Digitalis w imieniu osoby fizycznej, która zgłosiła naruszenie prawa dostępu do danych osobowych przez firmę Clearview AI.
  2. Działania firmy: Firma Clearview AI, Inc. zbierała zdjęcia z internetu, w tym z mediów społecznościowych, bez zgody osób, których dane dotyczyły. Zdjęcia te były przetwarzane w celu tworzenia profili biometrycznych.
  3. Brak odpowiedzi: Pomimo wielokrotnych prób kontaktu, firma nie odpowiedziała na żądania dostępu do danych wnioskującej osoby.
  4. Postępowanie: Grecki organ ochrony danych przeprowadził postępowanie kontrolne, które potwierdziło naruszenia przepisów o ochronie danych osobowych przez firmę Clearview AI, Inc.

 

Źródło

Pełna treść decyzji organu nadzorczego

 

Aby uniknąć podobnych naruszeń, zalecamy:

  1. Wyznaczenie przedstawiciela w UE: Wyznaczenie przedstawiciela w Unii Europejskiej.
  2. Zapewnienie legalnej podstawy przetwarzania: Przetwarzanie danych osobowych powinno być oparte na jednej z legalnych podstaw określonych w RODO.
  3. Informowanie podmiotów danych: Informowanie osób, których dane dotyczą, o przetwarzaniu ich danych.
  4. Spełnianie żądań dostępu: Realizacja żądania dostępu do danych osobowych.

 

Zgodnie z „Wytycznymi dotyczącymi rozpoznawania twarzy” opracowanymi przez Komitet Konsultacyjny Konwencji o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych Konwencja 108: 

  1. przetwarzanie szczególnych kategorii danych, takich jak dane biometryczne, jest dozwolone tylko wtedy, gdy takie przetwarzanie opiera się na odpowiedniej podstawie prawnej, a prawo krajowe zapewnia uzupełniające i odpowiednie zabezpieczenia, 
  2. konieczność stosowania technologii rozpoznawania twarzy należy oceniać wraz z proporcjonalnością do celu i wpływem na prawa osób, których dane dotyczą, 
  3. wykorzystywanie obrazów cyfrowych, które zostały umieszczone w Internecie, w tym w mediach społecznościowych lub internetowych witrynach do zarządzania zdjęciami, lub zostały przechwycone przez obiektyw monitorujących kamer wideo, nie może być uznane za zgodne z prawem wyłącznie na tej podstawie, że dane osobowe zostały w sposób oczywisty udostępnione przez osoby, których dane dotyczą, 
  4. przetwarzanie danych biometrycznych przez technologie rozpoznawania twarzy do celów identyfikacji w kontrolowanym lub niekontrolowanym środowisku powinno być ogólnie ograniczone do celów egzekwowania prawa oraz powinno być prowadzone wyłącznie przez właściwe organy w zakresie bezpieczeństwa, 
  5. wykorzystywanie technologii rozpoznawania twarzy przez podmioty prywatne, z wyjątkiem podmiotów prywatnych uprawnionych do wykonywania podobnych zadań jak organy publiczne, wymaga wyraźnej, konkretnej, dobrowolnej i świadomej zgody osób, których dane dotyczą, których dane biometryczne są przetwarzane, 
  6. podmioty prywatne nie mogą wdrażać technologii rozpoznawania twarzy w niekontrolowanych środowiskach, takich jak centra handlowe, zwłaszcza w celu identyfikacji osób będących przedmiotem zainteresowania, do celów marketingowych lub do celów bezpieczeństwa prywatnego.

 

Zgodnie z Rezolucją Parlamentu Europejskiego z dnia 6 października 2021 r. w sprawie sztucznej inteligencji w prawie karnym i jej stosowania przez policję i organy wymiaru sprawiedliwości w sprawach karnych: 

  1. korzystanie z systemów rozpoznawania twarzy przez organy ścigania powinno być ograniczone do ściśle określonych celów przy pełnym poszanowaniu zasad proporcjonalności i konieczności oraz obowiązującego prawa, 
  2. wykorzystanie technologii rozpoznawania twarzy musi co najmniej spełniać wymogi minimalizacji danych, dokładności danych, ograniczenia ich przechowywania, bezpieczeństwa danych i odpowiedzialności za nie, a także być zgodne z prawem, sprawiedliwe, przejrzyste i zgodne z konkretnym, wyraźnym i uzasadnionym celem, który jest jasno określony w obowiązującym prawie, 
  3. niedopuszczalne jest wykorzystywaniem przez organy ścigania i służby wywiadowcze prywatnych baz danych służących do rozpoznawania twarzy pozyskanych nielegalnie z sieci społecznościowych i innych miejsc ogólnie dostępnych w Internecie, 
  4. niedopuszczalne jest stosowanie w przestrzeni publicznej systemów automatycznej analizy i/lub rozpoznawania nie tylko twarzy, ale także innych cech ludzkich takich jak chód, odciski palców, DNA, głos oraz inne sygnały biometryczne i behawioralne, 
  5. stosowanie identyfikacji biometrycznej w kontekście ścigania przestępstw i sądownictwa powinno zawsze być uznawane za „wysokie ryzyko” i w związku z tym podlegać dodatkowym wymogom, zgodnie z zaleceniami powołanej przez Komisję grupy ekspertów wysokiego szczebla ds. sztucznej inteligencji. 

 

Jeśli potrzebujesz wsparcia w zakresie ochrony danych osobowych, zapraszamy do kontaktu

    * dane obowiązkowe.
    Administratorem danych osobowych jest FORSAFE Sp. z o.o. z siedzibą w Łodzi, przy ul. 1 Maja 31/33. Dane osobowe będą przetwarzane wyłącznie w prawnie usprawiedliwionym celu administratora danych. Każdemu przysługuje prawo dostępu do treści swoich danych i prawo poprawiania danych. Podanie danych osobowych jest dobrowolne ale konieczne dla świadczenia usług.

    Obowiązek informacyjny RODO