Obowiązek informacyjny rodo

KOMPAS FORSAFE 2024/30

Kraj:

Holandia

Data wydania decyzji:

16.05.2024 r.

Podmiot kontrolowany:

Clearview AI Inc.

Wysokość kary (EUR):

30.500.000

Podstawa prawna naruszenia

Art. 5 ust. 1 lit. a), art. 6 ust. 1, art. 9 ust. 1, art. 12 ust. 1, 2, art. 14 ust. 1, 2, Art. 27 ust. 1 RODO.

Nieprzestrzeganie ogólnych zasad przetwarzania danych.

 

Przyczyna naruszenia

Clearview AI Inc. naruszyło przepisy RODO poprzez nielegalne przetwarzanie danych osobowych, w tym danych biometrycznych, osób znajdujących się na terenie Holandii. Firma nie miała odpowiedniej podstawy prawnej do przetwarzania tych danych, nie informowała również odpowiednio osób, których dane przetwarzała, oraz nie reagowała na wnioski o dostęp do danych.

 

Opis wydarzeń

  1. Skargi i dochodzenie: W styczniu i kwietniu 2023 roku do holenderskiego organu nadzorczego (AP) wpłynęły skargi dotyczące braku odpowiedzi Clearview na wnioski o dostęp do danych. W marcu 2023 roku AP rozpoczęło dochodzenie w sprawie przetwarzania danych przez Clearview.
  2. Ustalenia: W toku czynności kontrolnych stwierdzono, że Clearview AI zbierała obrazy z internetu (m.in. z mediów społecznościowych) za pomocą technik web scraping i przetwarzała je w celu stworzenia bazy danych do rozpoznawania twarzy. AP ustaliło ponadto, że Clearview
    • przetwarza dane biometryczne bez odpowiedniej podstawy prawnej,
    • nie informuje odpowiednio osób, których dane przetwarza,
    • nie reaguje na wnioski o dostęp do danych
    • nie wyznaczyło przedstawiciela w Unii Europejskiej.
  1. Decyzja: AP nałożyło na Clearview karę oraz cztery nakazy zaprzestania naruszeń, w tym zakończenie nielegalnego przetwarzania danych, poprawienie obowiązku informacyjnego dla osób, których dane są przetwarzane, oraz wyznaczenie przedstawiciela w Unii Europejskiej.

 

Źródło

Pełna treść decyzji organu nadzorczego

 

Aby uniknąć podobnych naruszeń, zalecamy:

  1. Poprawa transparentności: Należy zapewnić, aby wszystkie osoby, których dane są przetwarzane, były odpowiednio informowane o celach, podstawach prawnych, odbiorcach danych oraz prawach przysługujących im na mocy RODO.
  2. Reagowanie na wnioski o dostęp do danych: Zaleca się wprowadzenie procedur umożliwiających terminowe i odpowiednie reagowanie na wnioski o dostęp do danych osobowych.
  3. Wyznaczenie przedstawiciela w UE: Konieczne jest wyznaczenie przedstawiciela w Unii Europejskiej, który będzie odpowiedzialny za kontakt z organami nadzorczymi oraz osobami, których dane są przetwarzane.

 

Zgodnie z „Wytycznymi dotyczącymi rozpoznawania twarzy” opracowanymi przez Komitet Konsultacyjny Konwencji o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych Konwencja 108: 

  1. przetwarzanie szczególnych kategorii danych, takich jak dane biometryczne, jest dozwolone tylko wtedy, gdy takie przetwarzanie opiera się na odpowiedniej podstawie prawnej, a prawo krajowe zapewnia uzupełniające i odpowiednie zabezpieczenia, 
  2. konieczność stosowania technologii rozpoznawania twarzy należy oceniać wraz z proporcjonalnością do celu i wpływem na prawa osób, których dane dotyczą, 
  3. wykorzystywanie obrazów cyfrowych, które zostały umieszczone w Internecie, w tym w mediach społecznościowych lub internetowych witrynach do zarządzania zdjęciami, lub zostały przechwycone przez obiektyw monitorujących kamer wideo, nie może być uznane za zgodne z prawem wyłącznie na tej podstawie, że dane osobowe zostały w sposób oczywisty udostępnione przez osoby, których dane dotyczą, 
  4. przetwarzanie danych biometrycznych przez technologie rozpoznawania twarzy do celów identyfikacji w kontrolowanym lub niekontrolowanym środowisku powinno być ogólnie ograniczone do celów egzekwowania prawa oraz powinno być prowadzone wyłącznie przez właściwe organy w zakresie bezpieczeństwa, 
  5. wykorzystywanie technologii rozpoznawania twarzy przez podmioty prywatne, z wyjątkiem podmiotów prywatnych uprawnionych do wykonywania podobnych zadań jak organy publiczne, wymaga wyraźnej, konkretnej, dobrowolnej i świadomej zgody osób, których dane dotyczą, których dane biometryczne są przetwarzane, 
  6. podmioty prywatne nie mogą wdrażać technologii rozpoznawania twarzy w niekontrolowanych środowiskach, takich jak centra handlowe, zwłaszcza w celu identyfikacji osób będących przedmiotem zainteresowania, do celów marketingowych lub do celów bezpieczeństwa prywatnego.

 

Zgodnie z Rezolucją Parlamentu Europejskiego z dnia 6 października 2021 r. w sprawie sztucznej inteligencji w prawie karnym i jej stosowania przez policję i organy wymiaru sprawiedliwości w sprawach karnych: 

  1. korzystanie z systemów rozpoznawania twarzy przez organy ścigania powinno być ograniczone do ściśle określonych celów przy pełnym poszanowaniu zasad proporcjonalności i konieczności oraz obowiązującego prawa, 
  2. wykorzystanie technologii rozpoznawania twarzy musi co najmniej spełniać wymogi minimalizacji danych, dokładności danych, ograniczenia ich przechowywania, bezpieczeństwa danych i odpowiedzialności za nie, a także być zgodne z prawem, sprawiedliwe, przejrzyste i zgodne z konkretnym, wyraźnym i uzasadnionym celem, który jest jasno określony w obowiązującym prawie, 
  3. niedopuszczalne jest wykorzystywaniem przez organy ścigania i służby wywiadowcze prywatnych baz danych służących do rozpoznawania twarzy pozyskanych nielegalnie z sieci społecznościowych i innych miejsc ogólnie dostępnych w Internecie, 
  4. niedopuszczalne jest stosowanie w przestrzeni publicznej systemów automatycznej analizy i/lub rozpoznawania nie tylko twarzy, ale także innych cech ludzkich takich jak chód, odciski palców, DNA, głos oraz inne sygnały biometryczne i behawioralne, 
  5. stosowanie identyfikacji biometrycznej w kontekście ścigania przestępstw i sądownictwa powinno zawsze być uznawane za „wysokie ryzyko” i w związku z tym podlegać dodatkowym wymogom, zgodnie z zaleceniami powołanej przez Komisję grupy ekspertów wysokiego szczebla ds. sztucznej inteligencji. 

 

Jeśli potrzebujesz wsparcia w zakresie ochrony danych osobowych, zapraszamy do kontaktu

    * dane obowiązkowe.
    Administratorem danych osobowych jest FORSAFE Sp. z o.o. z siedzibą w Łodzi, przy ul. 1 Maja 31/33. Dane osobowe będą przetwarzane wyłącznie w prawnie usprawiedliwionym celu administratora danych. Każdemu przysługuje prawo dostępu do treści swoich danych i prawo poprawiania danych. Podanie danych osobowych jest dobrowolne ale konieczne dla świadczenia usług.

    Obowiązek informacyjny RODO