„Clearview AI“, prieštaringai vertinamai JAV įsikūrusiai veido atpažinimo įmonei, sukūrusiai 30 milijonų vaizdų duomenų bazę, kurioje galima ieškoti, be jų sutikimo renkant asmenukes internete, buvo skirta didžiausia iki šiol Europoje bauda už privatumą.
Nyderlandų duomenų apsaugos institucija Autoriteit Persoonsgegevens (AP) antradienį pranešė, kad skyrė 30,5 mln. eurų – maždaug 33,7 mln. Reglamentas (BDAR), patvirtinęs, kad duomenų bazėje yra Nyderlandų piliečių vaizdų.
Ši bauda yra didesnė nei atskiros BDAR sankcijos, kurias duomenų apsaugos institucijos taikė Prancūzijoje, Italijoje, Graikijoje ir JK dar 2022 m.
Pranešime spaudai AP perspėjo, kad skyrė papildomą iki 5,1 mln. eurų baudą, kuri bus skirta už nuolatinį reikalavimų nesilaikymą, sakydamas, kad „Clearview“ nepavyko sustabdyti BDAR pažeidimų pasibaigus tyrimui, todėl padarė papildomas užsakymas. Bendra bauda gali siekti 35,6 mln. eurų, jei „Clearview AI“ ir toliau nepaisys Nyderlandų reguliavimo institucijos.
Nyderlandų duomenų apsaugos institucija „Clearview AI“ pradėjo tirti 2023 m. kovą, kai gavo trijų asmenų skundus dėl to, kad bendrovė nevykdė prašymų pasiekti duomenis. BDAR suteikia ES gyventojams tam tikras teises, susijusias su jų asmens duomenimis, įskaitant teisę prašyti savo duomenų kopijos arba reikalauti juos ištrinti. „Clearview AI“ tokių prašymų neįvykdė.
Kiti BDAR pažeidimai, dėl kurių AP baudžiama Clearview AI, apima duomenų bazės kūrimą renkant žmonių biometrinius duomenis be galiojančio teisinio pagrindo. Jai taip pat taikomos sankcijos už BDAR skaidrumo trūkumus.
„Clearview niekada neturėjo sukurti duomenų bazės su nuotraukomis, unikaliais biometriniais kodais ir kita su jomis susieta informacija“, – rašė AP. „Tai ypač pasakytina apie (iš veido išvestus unikalius biometrinius) kodus. Kaip ir pirštų atspaudai, tai biometriniai duomenys. Juos rinkti ir naudoti draudžiama. Yra keletas įstatymo nustatytų šio draudimo išimčių, tačiau Clearview negali jomis pasikliauti.
Bendrovė taip pat neinformavo asmenų, kurių asmens duomenis iškrapštė ir įtraukė į savo duomenų bazę.
„Clearview“ atstovė Lisa Linden iš Vašingtone įsikūrusios viešųjų ryšių įmonės „Resilere Partners“ neatsakė į klausimus, bet elektroniniu paštu išsiuntė „TechCrunch“ pareiškimą, kuris priskiriamas „Clearview“ vyriausiajam teisės pareigūnui Jackui Mulcaire'ui.
„Clearview AI neturi verslo vietos Nyderlanduose ar ES, ji neturi klientų Nyderlanduose ar ES ir nevykdo jokios veiklos, kuri kitu atveju reikštų, kad jai būtų taikomas GDPR“, – rašė Mulcaire. , pridurdamas: „Šis sprendimas yra neteisėtas, jame nėra tinkamo proceso ir jis nevykdomas.
Nyderlandų reguliavimo institucijos teigimu, bendrovė negali apskųsti nuobaudos, nes neprieštaravo sprendimui.
Taip pat verta paminėti, kad GDPR taikymo sritis yra ekstrateritorinė, o tai reiškia, kad ji taikoma ES žmonių asmens duomenų tvarkymui, kad ir kur tas tvarkymas būtų vykdomas.
JAV įsikūrusi „Clearview“ naudoja žmonių nuskaitytus duomenis, kad parduotų tapatybės nustatymo paslaugą klientams, tarp kurių gali būti vyriausybinės agentūros, teisėsaugos ir kitos saugumo tarnybos. Tačiau vis mažiau tikėtina, kad jos klientai bus kilę iš ES, kur naudojant privatumo įstatymus pažeidžiančias technologijas gresia reguliavimo sankcijos – tai atsitiko Švedijos policijos institucijai 2021 m.
AP perspėjo, kad ji griežtai nubaus bet kokias Nyderlandų įmones, kurios siekia naudoti „Clearview AI“. „Clearview pažeidžia įstatymus, todėl naudojimasis Clearview paslaugomis tampa neteisėtas. Todėl Nyderlandų organizacijos, kurios naudojasi „Clearview“, gali tikėtis didelių baudų iš Nyderlandų duomenų apsaugos institucijos“, – rašė Nyderlandų duomenų apsaugos tarnybos pirmininkas Aleidas Wolfsenas.
AP sprendimo versiją anglų kalba galite rasti per šią nuorodą.
Asmeninė atsakomybė?
Per pastaruosius kelerius metus „Clearview AI“ buvo skirta daugybė GDPR nuobaudų (popieriuje jis iš viso surinko apie 100 mln. EUR ES baudų už privatumą), tačiau regioninėms duomenų apsaugos institucijoms, matyt, nelabai sekėsi surinkti šios baudos. JAV įsikūrusi įmonė ir toliau nebendradarbiauja ir nepaskyrė teisinio atstovo ES.
Dar svarbiau tai, kad „Clearview AI“ nepakeitė savo BDAR pažeidžiančio elgesio – ji ir toliau nepaisė Europos privatumo įstatymų, akivaizdžiai nebaudžiama, nes yra įsikūrusi kitur.
Nyderlandų AP yra susirūpinusi dėl to, sakydama, kad ji ieško būdų, kaip užtikrinti, kad „Clearview“ nustotų pažeisti įstatymus. Reguliuotojas aiškinasi, ar bendrovės direktoriai gali būti asmeniškai atsakingi už pažeidimus.
„Tokia įmonė negali ir toliau pažeidinėti europiečių teisių ir išsisukti. Tikrai ne taip rimtai ir tokiu masiniu mastu. Dabar ištirsime, ar galime patraukti įmonės vadovybę asmeniškai atsakingai ir nubausti už tokius pažeidimus“, – rašė Wolfsenas. „Ta atsakomybė jau egzistuoja, jei direktoriai žino, kad BDAR pažeidžiamas, turi teisę tai sustabdyti, bet to nedaro ir tokiu būdu sąmoningai priima tuos pažeidimus.
Kadangi ką tik matėme, kaip susirašinėjimo programėlės „Telegram“ įkūrėjas Pavelas Durovas buvo suimtas Prancūzijoje dėl kaltinimų neteisėtu turiniu, platinamu jo platformoje, įdomu pagalvoti, ar „Clearview“ valdančių žmonių sankcijos gali turėti didesnę galimybę laikytis reikalavimų. galų gale jie gali norėti laisvai keliauti į ES ir aplink ją.