Clearview AI, kontroverzný startup na rozpoznávanie tvárí so sídlom v USA, ktorý vytvoril prehľadávateľnú databázu 30 miliónov obrázkov naplnených vyhľadávaním selfie z internetu ľudí bez ich súhlasu, dostal doteraz najväčšiu pokutu za ochranu súkromia v Európe.
Holandský úrad na ochranu údajov Autoriteit Persoonsgegevens (AP) v utorok uviedol, že uložil pokutu 30,5 milióna eur – približne 33,7 milióna dolárov pri súčasných výmenných kurzoch – spoločnosti Clearview AI za množstvo porušení všeobecnej ochrany údajov Európskej únie. Nariadenie (GDPR) po potvrdení databáza obsahuje zábery holandských občanov.
Táto pokuta je väčšia ako samostatné sankcie GDPR uložené orgánmi na ochranu údajov v Francúzsko, Taliansko, Grécko a UK späť v roku 2022.
V a tlačová správaAP varovala, že nariadila dodatočnú pokutu až do výšky 5,1 milióna EUR, ktorá bude uložená za pokračujúce nedodržiavanie pravidiel, pričom uviedla, že Clearview po ukončení vyšetrovania nedokázalo zastaviť porušovanie GDPR, a preto urobila dodatočnú objednávku. Celková pokuta by mohla dosiahnuť 35,6 milióna eur, ak Clearview AI bude naďalej ignorovať holandský regulátor.
Holandský úrad na ochranu údajov začal vyšetrovať spoločnosť Clearview AI v marci 2023 po tom, čo dostal sťažnosti od troch jednotlivcov v súvislosti s tým, že spoločnosť nevyhovela žiadostiam o prístup k údajom. GDPR dáva obyvateľom EÚ súbor práv súvisiacich s ich osobnými údajmi, ktoré zahŕňajú právo požiadať o kópiu svojich údajov alebo ich vymazať. Clearview AI takéto požiadavky nesplnila.
Medzi ďalšie porušenia GDPR, za ktoré AP sankcionuje Clearview AI, patrí najvýraznejšie budovanie databázy zhromažďovaním biometrických údajov ľudí bez platného právneho základu. Je tiež sankcionovaný za zlyhanie transparentnosti GDPR.
„Clearview nikdy nemal vytvoriť databázu s fotografiami, jedinečnými biometrickými kódmi a inými informáciami, ktoré sú s nimi spojené,“ napísala AP. „To platí najmä pre (jedinečné biometrické kódy odvodené z tváre). Podobne ako odtlačky prstov sú to biometrické údaje. Ich zber a používanie je zakázané. Existujú určité zákonné výnimky z tohto zákazu, ale spoločnosť Clearview sa na ne nemôže spoliehať.“
Spoločnosť tiež podľa rozhodnutia neinformovala jednotlivcov, ktorých osobné údaje zoškrabala a pridala do svojej databázy.
Zástupkyňa spoločnosti Clearview Lisa Linden z PR firmy Resilere Partners so sídlom vo Washingtone, DC, požiadala o komentár, neodpovedala na otázky, ale zaslala TechCrunch e-mailom vyhlásenie, ktoré sa pripisuje hlavnému právnemu zástupcovi spoločnosti Clearview Jackovi Mulcaireovi.
„Clearview AI nemá miesto podnikania v Holandsku ani v EÚ, nemá žiadnych zákazníkov v Holandsku ani v EÚ a nevykonáva žiadne aktivity, ktoré by inak znamenali, že podlieha GDPR,“ napísal Mulcaire. , a dodáva: „Toto rozhodnutie je nezákonné, bez riadneho procesu a je nevykonateľné.“
Podľa holandského regulátora sa spoločnosť nemôže proti pokute odvolať, keďže proti rozhodnutiu nevzniesla námietky.
Za zmienku tiež stojí, že GDPR má extrateritoriálny rozsah, čo znamená, že sa vzťahuje na spracúvanie osobných údajov ľudí z EÚ bez ohľadu na to, kde k tomuto spracúvaniu dochádza.
Spoločnosť Clearview so sídlom v USA používa zoškrabané údaje ľudí na predaj služby na porovnávanie identity zákazníkom, medzi ktoré môžu patriť vládne agentúry, orgány činné v trestnom konaní a iné bezpečnostné služby. Je však čoraz nepravdepodobnejšie, že jej klienti budú pochádzať z EÚ, kde pri používaní technológie porušujúcej zákon o ochrane súkromia hrozí regulačná sankcia – niečo, čo sa stalo švédsky policajný orgán v roku 2021.
Agentúra AP varovala, že bude prísne sankcionovať všetky holandské subjekty, ktoré sa budú snažiť používať Clearview AI. „Clearview porušuje zákon, a preto je používanie služieb Clearview nezákonné. Holandské organizácie, ktoré používajú Clearview, preto môžu očakávať od holandskej DPA vysoké pokuty,“ napísal predseda holandskej DPA Aleid Wolfsen.
Anglická jazyková verzia AP rozhodnutie je prístupný cez tento odkaz.
Osobná zodpovednosť?
Clearview AI čelila za posledných niekoľko rokov množstvu pokút podľa GDPR (na papieri nazbierala celkovo približne 100 miliónov EUR na pokutách za ochranu súkromia v EÚ), ale regionálne orgány na ochranu údajov zjavne neboli veľmi úspešné pri vyberaní žiadnej z nich. tieto pokuty. Spoločnosť so sídlom v USA naďalej nespolupracuje a nevymenovala právneho zástupcu v EÚ.
Ešte dôležitejšie je, že Clearview AI nezmenila svoje správanie porušujúce GDPR – naďalej porušovala európske zákony na ochranu súkromia so zjavnou prevádzkovou beztrestnosťou z dôvodu, že sídli inde.
Holandská agentúra AP je tým znepokojená a tvrdí, že skúma spôsoby, ako zabezpečiť, aby spoločnosť Clearview prestala porušovať zákon. Regulátor zisťuje, či môžu byť riaditelia spoločnosti osobne zodpovední za porušenia.
„Takáto spoločnosť nemôže pokračovať v porušovaní práv Európanov a dostať sa z toho. Určite nie takýmto serióznym spôsobom a v takom masívnom meradle. Teraz budeme skúmať, či môžeme vedenie spoločnosti brať na osobnú zodpovednosť a pokutovať ich za to, že tieto porušenia riadili,“ napísal Wolfsen. „Táto zodpovednosť už existuje, ak riaditelia vedia, že dochádza k porušovaniu GDPR, majú právomoc to zastaviť, ale zabudnú to urobiť, a týmto spôsobom vedome akceptujú tieto porušenia.“
Odkedy sme práve videli zakladateľa aplikácie na odosielanie správ Telegram Pavla Durova zatkli na francúzskej pôde v súvislosti s obvineniami z nezákonného obsahu, ktorý sa šíri na jeho platforme, je zaujímavé zvážiť, či sankcionovanie ľudí, ktorí spravujú Clearview, môže mať väčšiu šancu na dosiahnutie súladu – napokon môžu chcieť voľne cestovať do EÚ a po nej.