Clearview AI to startup oferujący zaawansowane usługi rozpoznawania twarzy, skierowane głównie do służb wywiadowczych i śledczych. Klienci Clearview AI mogą przesyłać zdjęcia w celu identyfikacji osób na nich uwiecznionych, a oprogramowanie stosowane przez Spółkę potrafi z dużą dokładnością rozpoznać tożsamość danej osoby. W tym celu Clearview AI dysponuje bazą danych zawierającą ponad 30 miliardów zdjęć, które są gromadzone z mediów społecznościowych, takich jak Instagram i Facebook, a także z innych źródeł internetowych, w tym stron osobistych, zawodowych i artykułów prasowych. Spółka pobiera te zdjęcia z Internetu, a następnie przekształca je w unikalne kody biometryczne dla każdej twarzy. Ważne jest to, że Clearview AI nie nakłada żadnych ograniczeń dotyczących położenia geograficznego czy narodowości.
30 miliardów – to właśnie tyle zdjęć osób znajduje się w bazie danych Clearview AI, jak podał Holenderski Organ Ochrony Danych Osobowych. Jednak zgodnie z informacjami podanymi na stronie internetowej Clearview AI, ich baza danych zawiera ponad 50 miliardów publicznie dostępnych obrazów, reprezentujących społeczeństwo.
Przy takim założeniu można przypuszczać, że każdy z nas może już znajdować się w takiej bazie lub wkrótce się tam pojawić, jeśli nasze zdjęcia są dostępne w Internecie… Zdecydowanie nie brzmi to dobrze!
Tą oszałamiającą karę w wysokości 30,5 miliona euro (33,7 miliona dolarów) nałożył na Clearview AI Holenderski Organ Ochrony Danych Osobowych decyzją z dnia 16 maja 2024 roku. Informacja o tej decyzji została opublikowana na stronie internetowej Organu dnia 3 września 2024 roku.
Oprócz nałożonej kary, Organ nadzorczy ostrzegł Clearview AI przed możliwością nałożenia kolejnej kary w wysokości do 5,1 miliona euro (5,6 miliona dolarów) za dalsze nieprzestrzeganie przepisów dotyczących ochrony danych osobowych, jeśli Spółka nie zaradzi istniejącym naruszeniom. Działania Holenderskiego Organu obejmują również dyrektywę, nakazującą holenderskim organizacjom zaprzestanie korzystania z usług Clearview AI, co podkreśla szeroki wpływ tej decyzji na działalność w Europie. Holenderskie organizacje korzystające z usług oferowanych przez Clearview AI, mogą zatem spodziewać się wysokich kar ze strony Holenderskiego Organu Ochrony Danych Osobowych.
Kara nałożona przez Holenderski Organ Nadzorczy odzwierciedla poważne naruszenia przepisów RODO ze strony Clearview AI.
W pierwszej kolejności Holenderski Organ Ochrony Danych Osobowych na skutek przeprowadzonego postępowania stwierdził, że Clearview AI nie posiada podstawy prawnej do gromadzenia zdjęć twarzy, ani do tworzenia bazy danych zawierającej zdjęcia, unikalne kody biometryczne oraz inne powiązane informacje. W szczególności osoby, których zdjęcia z wizerunkiem zostały umieszczone w bazie Clearview AI, nie wyraziły zgody na takie przetwarzanie i wykorzystanie ich wizerunku. W ten sposób Clearview AI narusza art. 5 ust. 1 lit. a RODO w związku z art. 6 ust. 1 RODO. Dodatkowo, świadcząc swoje usługi, Clearview AI narusza art. 9 ust. 1 RODO, przetwarzając dane osobowe szczególnych kategorii (dane biometryczne) bez odpowiedniej podstawy prawnej.
Ponadto Clearview AI nie informuje osób, których wizerunek znajduje się w stworzonej przez Spółkę bazie, o wykorzystywaniu ich danych osobowych. W związku z tym Clearview AI działa niezgodnie z art. 12 ust. 1 RODO w związku z art. 14 ust. 1 i ust. 2 RODO.
Co więcej, osobom znajdującym się w przedmiotowej bazie przysługuje między innymi prawo dostępu do swoich danych osobowych. Oznacza to, że Clearview AI musi umożliwić tym osobom uzyskanie informacji na temat przetwarzania przez Spółkę o nich danych osobowych, jeśli o to poproszą. Jednak Clearview AI nie zrealizował takich wniosków o dostęp do danych złożonych przez osoby, których dane dotyczą, co stanowi naruszenie art. 12 ust. 3 RODO w związku z art. 15 RODO. Ponadto, ponieważ Clearview AI nie ułatwia osobom, których dane dotyczą, korzystania z prawa dostępu, narusza także art. 12 ust. 2 RODO w związku z art. 15 RODO.
Okoliczność, że Clearview AI, będąc amerykańską Spółką bez siedziby w Europie, nie wyznaczył przedstawiciela w Unii Europejskiej w rozumieniu art. 4 pkt 17 RODO, mimo że jest do tego zobowiązany na podstawie art. 27 ust. 1 RODO, również stanowi naruszenie przepisów RODO. Warto podkreślić, że RODO ma zakres eksterytorialny, co oznacza, że obowiązuje w zakresie przetwarzania danych osobowych obywateli Unii Europejskiej wszędzie tam, gdzie to przetwarzanie ma miejsce.
Nie można również tracić z pola widzenia, że inne organy ochrony danych– m.in. takie jak Włochy i Francja – już wcześniej nakładały kary pieniężne na Clearview AI. Pomimo tych sankcji, Spółka nadal nie dostosowuje swojego postępowania do wymogów RODO. W związku z tym Holenderski Organ Ochrony Danych Osobowych poszukuje sposobów na zapewnienie, że Clearview AI zaprzestanie naruszeń prawa. W ramach tych działań rozważa możliwość pociągnięcia dyrektorów Spółki do osobistej odpowiedzialności za naruszenia RODO oraz nałożenia na nich kar pieniężnych, jeśli świadomie akceptowali te naruszenia, mimo posiadania wiedzy o ich istnieniu i możliwości ich zaprzestania.
Taki pomysł skłania do refleksji, zwłaszcza w kontekście niedawnych wydarzeń, kiedy to założyciel aplikacji do przesyłania wiadomości Telegram, Pavel Durov, został aresztowany we Francji w związku z zarzutami o nielegalne treści rozpowszechniane na jego platformie. Warto zastanowić się, czy nałożenie sankcji na osoby zarządzające Clearview AI może skuteczniej doprowadzić do zgodności działania Spółki z przepisami RODO i czy jest to w ogóle możliwe.
W świetle powyższego Clearview AI można uznać za symbol naruszeń prywatności w erze cyfrowej. Kary nałożone na Spółkę przez różne kraje europejskie pokazują, że przetwarzanie danych biometrycznych z naruszeniem przepisów dotyczących ochrony danych osobowych może prowadzić do poważnych konsekwencji prawnych i finansowych. Ponadto ostatnie działania Holenderskiego Organu Ochrony Danych Osobowych, w tym rozważenie możliwości nałożenia sankcji na dyrektorów Clearview AI, wskazują na rosnącą determinację organów nadzorczych w egzekwowaniu przepisów RODO.
Źródło:
Krajowy komunikat prasowy w języku angielskim: Dutch DPA imposes a fine on Clearview because of illegal data collection for facial recognition