Obowiązek informacyjny rodo

KOMPAS FORSAFE 2022/57

Kraj:

Francja

Data wydania decyzji:

17.10.2022 r.

Podmiot kontrolowany:

Clearview Al Inc.

Wysokość kary (EUR):

20.000.000

Podstawa prawna naruszenia

Art. 6, art. 12, art. 15, art. 17, art. 31 RODO.

Niedostateczna realizacja praw osób, których dane dotyczą.

 

Przyczyna naruszenia

Naruszenie dotyczyło nielegalnego przetwarzania danych osobowych przez firmę Clearview AI. Firma ta zbierała i przetwarzała zdjęcia twarzy z publicznie dostępnych źródeł internetowych bez odpowiedniej podstawy prawnej, co stanowiło naruszenie przepisów RODO.

 

Opis wydarzeń

  1. Początek procedury: W 2020 roku francuski organ nadzorczy (CNIL) otrzymał skargi dotyczące trudności w egzekwowaniu praw dostępu i usunięcia danych przez Clearview AI.
  2. Kontrola: CNIL przeprowadził kontrolę, wysyłając kwestionariusz do Clearview AI, na który firma odpowiedziała częściowo.
  3. Skargi: W maju 2021 roku Privacy International złożyło skargę na Clearview AI.
  4. Stanowisko CNIL: W listopadzie 2021 roku CNIL wydał nakaz dostosowania się do przepisów RODO, na który firma nie odpowiedziała.
  5. Raport: W czerwcu 2022 roku CNIL wyznaczył osobę kontrolującą, która w lipcu 2022 roku przedstawił raport wskazujący na liczne naruszenia przepisów RODO przez Clearview AI.
  6. Decyzja: W październiku 2022 roku CNIL nałożył na Clearview AI karę finansową oraz nakaz usunięcia nielegalnie przetwarzanych danych.

 

Źródło

Pełna treść decyzji organu nadzorczego

 

Aby uniknąć podobnych naruszeń, zalecamy:

Zgodnie z „Wytycznymi dotyczącymi rozpoznawania twarzy” opracowanymi przez Komitet Konsultacyjny Konwencji o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych Konwencja 108: 

  1. przetwarzanie szczególnych kategorii danych, takich jak dane biometryczne, jest dozwolone tylko wtedy, gdy takie przetwarzanie opiera się na odpowiedniej podstawie prawnej, a prawo krajowe zapewnia uzupełniające i odpowiednie zabezpieczenia, 
  2. konieczność stosowania technologii rozpoznawania twarzy należy oceniać wraz z proporcjonalnością do celu i wpływem na prawa osób, których dane dotyczą, 
  3. wykorzystywanie obrazów cyfrowych, które zostały umieszczone w Internecie, w tym w mediach społecznościowych lub internetowych witrynach do zarządzania zdjęciami, lub zostały przechwycone przez obiektyw monitorujących kamer wideo, nie może być uznane za zgodne z prawem wyłącznie na tej podstawie, że dane osobowe zostały w sposób oczywisty udostępnione przez osoby, których dane dotyczą, 
  4. przetwarzanie danych biometrycznych przez technologie rozpoznawania twarzy do celów identyfikacji w kontrolowanym lub niekontrolowanym środowisku powinno być ogólnie ograniczone do celów egzekwowania prawa oraz powinno być prowadzone wyłącznie przez właściwe organy w zakresie bezpieczeństwa, 
  5. wykorzystywanie technologii rozpoznawania twarzy przez podmioty prywatne, z wyjątkiem podmiotów prywatnych uprawnionych do wykonywania podobnych zadań jak organy publiczne, wymaga wyraźnej, konkretnej, dobrowolnej i świadomej zgody osób, których dane dotyczą, których dane biometryczne są przetwarzane, 
  6. podmioty prywatne nie mogą wdrażać technologii rozpoznawania twarzy w niekontrolowanych środowiskach, takich jak centra handlowe, zwłaszcza w celu identyfikacji osób będących przedmiotem zainteresowania, do celów marketingowych lub do celów bezpieczeństwa prywatnego.

 

Zgodnie z Rezolucją Parlamentu Europejskiego z dnia 6 października 2021 r. w sprawie sztucznej inteligencji w prawie karnym i jej stosowania przez policję i organy wymiaru sprawiedliwości w sprawach karnych: 

  1. korzystanie z systemów rozpoznawania twarzy przez organy ścigania powinno być ograniczone do ściśle określonych celów przy pełnym poszanowaniu zasad proporcjonalności i konieczności oraz obowiązującego prawa, 
  2. wykorzystanie technologii rozpoznawania twarzy musi co najmniej spełniać wymogi minimalizacji danych, dokładności danych, ograniczenia ich przechowywania, bezpieczeństwa danych i odpowiedzialności za nie, a także być zgodne z prawem, sprawiedliwe, przejrzyste i zgodne z konkretnym, wyraźnym i uzasadnionym celem, który jest jasno określony w obowiązującym prawie, 
  3. niedopuszczalne jest wykorzystywaniem przez organy ścigania i służby wywiadowcze prywatnych baz danych służących do rozpoznawania twarzy pozyskanych nielegalnie z sieci społecznościowych i innych miejsc ogólnie dostępnych w Internecie, 
  4. niedopuszczalne jest stosowanie w przestrzeni publicznej systemów automatycznej analizy i/lub rozpoznawania nie tylko twarzy, ale także innych cech ludzkich takich jak chód, odciski palców, DNA, głos oraz inne sygnały biometryczne i behawioralne, 
  5. stosowanie identyfikacji biometrycznej w kontekście ścigania przestępstw i sądownictwa powinno zawsze być uznawane za „wysokie ryzyko” i w związku z tym podlegać dodatkowym wymogom, zgodnie z zaleceniami powołanej przez Komisję grupy ekspertów wysokiego szczebla ds. sztucznej inteligencji. 

 

Jeśli potrzebujesz wsparcia w zakresie ochrony danych osobowych, zapraszamy do kontaktu

    * dane obowiązkowe.
    Administratorem danych osobowych jest FORSAFE Sp. z o.o. z siedzibą w Łodzi, przy ul. 1 Maja 31/33. Dane osobowe będą przetwarzane wyłącznie w prawnie usprawiedliwionym celu administratora danych. Każdemu przysługuje prawo dostępu do treści swoich danych i prawo poprawiania danych. Podanie danych osobowych jest dobrowolne ale konieczne dla świadczenia usług.

    Obowiązek informacyjny RODO