Kolejne decyzje w sprawie Clearview AI – naruszenia RODO w zakresie danych biometrycznych
Przetwarzanie danych biometrycznych za pomocą AI bez podstawy prawnej – takie naruszenie zarzucił firmie Clearview AI austriacki organ nadzorczy. To jednak nie wszystko. Za niewykonanie nakazu francuskiego organu nadzorczego firma wykorzystująca sztuczną inteligencję w przetwarzaniu danych osobowych musi zapłacić kolejną karę.
Przetwarzanie danych biometrycznych za pomocą AI
Firma Clearview AI przetwarza dane osobowe w postaci wizerunków w ramach technologii rozpoznawania twarzy. Prawdopodobnie przechowuje ona ok. 30 mld wizerunków pobieranych m.in. z portali społecznościowych czy serwisów streamingowych za pomocą technologii web scrapingu. Wizerunki te są przetwarzane za pomocą sztucznej inteligencji, na podstawie danych biometrycznych wyodrębnionych z obrazów. W ten sposób tworzone są profile, które mogą być powiązane np. z tagami czy danami geolokalizacyjnymi. Dane te są przekazywane w ramach świadczonych usług m.in. organom ścigania. Tego typu przetwarzanie danych za pomocą AI wzbudza duże kontrowersje.
Brak podstaw do przetwarzania danych osobowych
Sprawa trafiła do austriackiego organ nadzorczy (DSB) stwierdził, że takie przetwarzanie danych jest niezgodne z RODO. Przede wszystkim zarzucił brak podstaw do przetwarzania danych biometrycznych jako danych wrażliwych. Natomiast w zakresie danych osobowych zwykłych można było rozważyć jedynie powołanie się na art. 6 ust. 1 lit. f RODO. Niemniej jednak nie było to możliwe z uwagi na nadmierną ingerencję w prawa podmiotów danych. Doszło więc do naruszenia reguły legalizmu.
Wizerunki były przechowywane bez ograniczeń
Firmie zarzucono też zbyt długie, a właściwie trwałe przechowywanie danych osobowych – bez jakiegokolwiek okresu retencji. Do tego stwierdzono naruszenie zasad minimalizacji, przejrzystości, a także reguły ograniczenia celu przetwarzania. W efekcie DSB nakazał usunięcie danych osobowych skarżącego. Poza tym zobligował administratora do wyznaczenia przedstawiciela w Unii Europejskiej.
Kara za niewykonanie nakazu organu nadzorczego
To jednak nie jedyna decyzja, jaką ostatnio wydano w sprawie Clearview AI. Przypomnijmy, że 17 października 2022 r. firma ta została ukarana przez francuski organ nadzorczy (CNIL) m.in. za brak podstaw do przetwarzania danych biometrycznych. CNIL wymierzył administratorowi karę w wysokości 20 mln euro, ale też zakazał dalszego przetwarzania wskazanych danych i zobligował do ich usunięcia. Więcej o tej sprawie w artykule: 20 mln euro kary dla spółki Clearview AI.
Nakaz CNIL nie został jednak wykonany w wyznaczonym 2-miesięcznym terminie. W konsekwencji firmie Clearview AI wymierzono karę w wysokości 5,2 mln euro.
Clearview AI została ukarana także w Grecji. Więcej o tym w artykule: Surowa kara za niezapewnienie dostępu do danych
-
edpb.europa.eu
- Mechanizmy dochodzenia roszczeń w związku z wdrożeniem ram ochrony danych UE - USA
- TSUE: Identyfikator personalizacji reklam zaliczany do danych osobowych według RODO
- Kara za przetwarzanie danych osobowych w rozmowach telefonicznych bez podstawy prawnej
- Zgoda marketingowa – czy także od firmy lub instytucji
- Wpływ sztucznej inteligencji na ochronę danych osobowych
- Zgoda na przetwarzanie danych osobowych do celów reklamy behawioralnej – jak powinna wyglądać
Wideo: Przegląd orzecznictwa (sierpień – listopad 2022 r.) – cz. III – decyzje zagranicznych organów nadzorczych
Poznaj najważniejsze orzeczenia zagranicznych organów nadzorczych. W podsumowaniu poruszamy zagadnienia związane m.in. z geolokalizacją, prawem dostępem do danych, cyberatakiem na gminę czy rozpoznawaniem twarzy.
