Επιμέλεια: Δημήτρης Βέρρας
Μετά από έρευνα διάρκειας 11 μηνών, δημοσιεύθηκε σήμερα η απόφαση του Επιτρόπου Προστασίας Δεδομένων του Αμβούργου σε υπόθεση καταγγελίας γερμανού πολίτη, με την οποία αυτός ζητούσε τη διαγραφή των προσωπικών δεδομένων του από τα αρχεία της Clearview AI.
Σύμφωνα με την απόφαση, η γερμανική αρχή προτίθεται να διατάξει, κατά το άρθρο 58 παρ.2ζ του Γενικού Κανονισμού Προστασίας Δεδομένων, την Clearview AI όπως διαγράψει το hash value, που δημιουργήθηκε αυτοματοποιημένα για το πρόσωπο του καταγγέλλοντος, καθώς και να επιβεβαιώσει στην αρχή τη διαγραφή αυτή.
Οι έρευνες της αρμόδιας εποπτικής αρχής του Αμβούργου ξεκίνησαν μετά από καταγγελία κατοίκου της πόλης του Αμβούργου για την παράνομη επεξεργασία των προσωπικών δεδομένων του από την εδρεύουσα στη Νέα Υόρκη Clearview AI. Υπενθυμίζεται ότι η Clearview AI έχει αναπτύξει τεχνολογία, με την οποία, αφού πρώτα συλλέγει φωτογραφίες πολιτών από τα social media και το διαδίκτυο, στην συνέχεια τις επεξεργάζεται, προκειμένου να εξαγάγει το βιομετρικό τους υπόδειγμα και να τις αποθηκεύσει σε βάση δεδομένων. Ακολούθως, η εταιρεία πωλεί σε κάθε ενδιαφερόμενο την ειδική εφαρμογή της, με την οποία μπορεί κανείς, εισάγοντας τη φωτογραφία αγνώστου προσώπου, να αναζητήσει την ταυτοποίησή του από τη βάση βιομετρικών δεδομένων της εταιρείας.
Ο καταγγέλλων ισχυρίζεται ότι ποτέ δεν έδωσε τη συγκατάθεσή του για μια τέτοια βιομετρική επεξεργασία
1. Η παρακολούθηση της συμπεριφοράς.
Το κύριο πρόβλημα που έπρεπε να αντιμετωπίσει η γερμανική αρχή είναι το αν και για ποιο λόγο οι δραστηριότητες της Clearview AI εμπίπτουν στο πεδίο εφαρμογής του ΓΚΠΔ, δεδομένου ότι αυτή δεν διατηρεί εγκατάσταση στην Ένωση. Δεδομένου ότι η προσφορά αγαθών ή υπηρεσιών στα υποκείμενα αποκλείεται εκ των πραγμάτων, η μοναδική δυνατότητα που δίνει το άρθρο 3 παρ.2 ΓΚΠΔ είναι η περίπτωση β΄: η παρακολούθηση της συμπεριφοράς τους.
Το σκεπτικό της αρχής, ως προς τη θεμελίωση της περίπτωσης αυτής, είναι εξαιρετικά ενδιαφέρον. Σύμφωνα με την απόφαση, «η συμπεριφορά παρακολουθείται όταν αυτή καταγράφεται με στοχευμένο τρόπο και αποθηκεύεται υπό τη μορφή προσωπικών δεδομένων. Η συστηματική καταγραφή δεν είναι αναγκαία. Η ευαισθησία της παρακολουθούμενης συμπεριφοράς είναι άνευ σημασίας. Το κίνητρο για την παρακολούθηση είναι επίσης άνευ σημασίας. Σύμφωνα με την αιτιολογική σκέψη 24, εδάφιο β’ του ΓΚΠΔ, το ερώτημα του κατά πόσον ο υπεύθυνος επεξεργασίας παρακολουθεί τη συμπεριφορά βασίζεται στο κατά πόσον παρακολουθούνται οι διαδικτυακές δραστηριότητες του υποκειμένου των δεδομένων. Η ClearviewAI αποσκοπεί στην καταγραφή της συμπεριφοράς των φυσικών προσώπων και την αποθήκευσή της, υπό τη μορφή προσωπικών δεδομένων”.
H Clearview AI διαφώνησε με την προσέγγιση αυτή, επισημαίνοντας ότι δεν συλλέγει, ούτε παρέχει πληροφορίες για τη συμπεριφορά ενός προσώπου. Σύμφωνα με την εταιρεία, η έννοια της παρακολούθησης προϋποθέτει χρονική διάρκεια, ενώ η δική της δραστηριότητα περιορίζεται στη συλλογή φωτογραφικών στιγμιοτύπων (snapshots). Το επιχείρημα αυτό δεν έγινε δεκτό από την Αρχή.
Από τη στιγμή που στο αρχείο της εταιρείας καταχωρούνται περισσότερες της μιας φωτογραφίες, οι οποίες καλύπτουν μια χρονική περίοδο, η πράξη αυτή συνιστά παρακολούθηση συμπεριφοράς, γεγονός που επιβεβαιώνεται και από το ότι οι φωτογραφίες αυτές, όπως φάνηκε και από την έρευνα που έγινε, συνοδεύονται και από σχετικά σχόλια των δραστηριοτήτων που απεικονίζουν.
Κατά ταύτα, η γερμανική αρχή δεν έχει καμία αμφιβολία πως οι δραστηριότητες της Clearview AI εμπίπτουν στην περίπτωση του 3.2β ΓΚΠΔ και άρα στο πεδίο εφαρμογής του Γενικού Κανονισμού.
2. Η εντολή διαγραφής λόγω παράνομης επεξεργασίας.
Μια από τις περιπτώσεις, για τις οποίες το άρθρο 17 ΓΚΠΔ προβλέπει τη δυνατότητα υποβολής αιτήματος διαγραφής είναι και αυτή της παράνομης επεξεργασίας δεδομένων.
Επισημαίνοντας κατ’αρχήν ότι για την εφαρμογή της διάταξης δεν απαιτείται αίτημα του υποκειμένου των δεδομένων προς τον υπεύθυνο επεξεργασίας, η αρχή κρίνει ότι μπορεί η ίδια να αξιολογήσει το τυχόν παράνομο της επεξεργασίας και να ζητήσει τη διαγραφή αυτή.
Το παράνομο αυτό έχει να κάνει με την επεξεργασία βιομετρικών δεδομένων. Το hash value, το οποίο εξάγεται από τις φωτογραφίες που έχει συλλέξει η εταιρεία, αποτελεί βιομετρικό δεδομένο, κατά την έννοια του άρθρου 4 παρ.14 ΓΚΠΔ. H επεξεργασία αυτή, θα έπρεπε να θεμελιώνεται σε μια από τις ειδικές νομικές βάσεις του άρθρου 9 παρ.2 ΓΚΠΔ και ειδικότερα στη ρητή συγκατάθεση των υποκειμένων. Η συγκατάθεση αυτή δεν είχε ποτέ ζητηθεί ή δοθεί, κατά συνέπεια η επεξεργασία των βιομετρικών δεδομένων είναι παράνομη.
3. Το διατακτικό.
Με βάση τις ανωτέρω παραδοχές, ο Επίτροπος Προστασίας Δεδομένων του Αμβούργου ζητά από την Clearview AI όπως, μέχρι τη 12η Φεβρουαρίου, είτε προχωρήσει σε διαγραφή του hash value του καταγγέλλοντος πολίτη και ενημερώσει σχετικά την αρχή για τη διαγραφή αυτή, είτε προβάλει σχετικές αντιρρήσεις της, πριν την έκδοση της σχετικής εντολής.
4. Σχόλιο.
Α. Ως προς το πεδίο εφαρμογής.
Η πρώτη και σημαντικότερη παρατήρηση έχει να κάνει με την ερμηνεία του άρθρου 3 ΓΚΠΔ, ως προς το εδαφικό πεδίο εφαρμογής του Γενικού Κανονισμού στην περίπτωση της Clearview AI.
Δεν υπάρχει αμφιβολία ότι οι δύο περιπτώσεις, που έχει προβλέψει ο ενωσιακός νομοθέτης για τις εταιρείες που δεν διατηρούν εγκατάσταση στην Ένωση, δεν φαίνονται ικανές για μια άμεση και ασφαλή υπαγωγή των δραστηριοτήτων της εταιρείας στις διατάξεις του Γενικού Κανονισμού. Η Clearview AI ασφαλώς και δεν προσφέρει αγαθά ή υπηρεσίες στα υποκείμενα των δεδομένων. Αντιθέτως και απολύτως ειρωνικά, τα υποκείμενα των δεδομένων είναι τα προσφερόμενα αγαθά.
Με μόνη εναπομένουσα επιλογή εκείνη της παρακολούθησης της συμπεριφοράς των υποκειμένων ο εφαρμοστής του δικαίου καλείται να ερμηνεύσει τη διάταξη όσο πιο διασταλτικά δύναται, στα όρια ίσως της ερμηνευτικής ακροβασίας, προκειμένου να μπορέσει να θεμελιώσει πεδίο εφαρμογής και να προστατεύσει τους ευρωπαίους πολίτες. Αυτό μοιάζει να επιχειρεί και η γερμανική αρχή. Η προσέγγισή της για το τί συνιστά παρακολούθηση συμπεριφοράς και πώς η συλλογή και αποθήκευση των φωτογραφιών εντάσσεται σε μια τέτοια περίπτωση, μοιάζει να είναι οριακής ασφάλειας και βασιμότητας. Δεν πρέπει να μας διαφεύγει ότι σε προηγούμενο δελτίο τύπου, τον Αύγουστο του 2020, η ίδια Αρχή είχε επικαλεστεί την εφαρμογή του 3.2β ΓΚΠΔ, με εντελώς διαφορετικά επιχειρήματα.
Απέναντι στην τότε άρνηση της εταιρείας να συνεργαστεί για την έρευνα που διενεργούσε, η γερμανική αρχή είχε διαπιστώσει πως η παρακολούθηση δεν αφορά στα υποκείμενα, αλλά στους πελάτες της.
«Ο ΓΚΠΔ τυγχάνει εφαρμογής βάσει του άρθρου 3 παρ.2β, δεδομένου ότι η επακόλουθη παρακολούθηση της συμπεριφοράς δεν επηρεάζει μόνο τα ενδιαφερόμενα μέρη, αλλά και τους πελάτες της Clearview. Ειδικότερα, οι χρήστες της εφαρμογής, οι οποίοι εργάζονται στους πελάτες της Clearview, όπως αρχές ασφαλείας ή ιδιωτικές εταιρείες, παρακολουθούνται μέσω της εγκατάστασης cookies για διάφορους σκοπούς, όπως πχ. για την παρακολούθηση της δραστηριότητας των χρηστών ή τη βελτίωση των παρεχομένων υπηρεσιών. Οι υπάλληλοι των χρηστών αυτών, που βρίσκονται στην Ευρωπαϊκή Ένωση εντάσσονται στο πεδίο εφαρμογής του ΓΚΠΔ και βρίσκονται συνεπώς υπό τις διατάξεις του Κανονισμού αυτού».
Τίποτε από αυτά δεν επαναλαμβάνεται στην απόφαση που εκδόθηκε. Θα μπορούσε να πει κανείς ότι η γερμανική αρχή φαίνεται να επιχειρεί με κάθε τρόπο να θεμελιώσει πεδίο εφαρμογής του Γενικού Κανονισμού, ακόμη και αν αυτό απαιτεί αλλαγή στην επιχειρηματολογία της.
Β. Ως προς την άσκηση του δικαιώματος διαγραφής από το υποκείμενο.
Αξιοσημείωτο στην υπόθεση αυτή είναι το ότι το υποκείμενο των δεδομένων δεν άσκησε το δικαίωμα διαγραφής προς τον υπεύθυνο επεξεργασίας, αλλά προσέφυγε απευθείας στην αρμόδια εποπτική αρχή.
Παρά το γεγονός ότι το άρθρο 17 ΓΚΠΔ αναφέρεται ρητώς σε δικαίωμα του υποκειμένου να ζητήσει τη διαγραφή των δεδομένων του, η γερμανική αρχή κρίνει ότι το άρθρο 58 παρ.2ζ ΓΚΠΔ τής δίνει τη δυνατότητα να διατάξει η ίδια τη διαγραφή αυτή και δη χωρίς να έχει προηγηθεί απόρριψη σχετικού αιτήματος του υποκειμένου.
Γ. Ως προς τη διαγραφή των δεδομένων μόνο του καταγγέλλοντος.
Εντύπωση προκαλεί η απόφαση της γερμανικής αρχής να μη ζητήσει την διακοπή της επεξεργασίας και διαγραφή των δεδομένων κάθε πολίτη τής εδαφικής αρμοδιότητάς της, αλλά μόνο τη διαγραφή των δεδομένων του αιτούντος και δη μόνο των βιομετρικών.
Θα έλεγε κανείς ότι, εφόσον η αρχή κρίνει την υπαγωγή της εταιρείας στις διατάξεις του ΓΚΠΔ και διαπιστώνει την παράνομη επεξεργασία βιομετρικών δεδομένων, θα ήταν λογικό να προχωρήσει σε εφαρμογή του άρθρου 58 παρ.2στ, επιβάλλοντας καθολική απαγόρευση επεξεργασίας δεδομένων των πολιτών της, από κοινού με την εντολή διαγραφής αυτών.
Τούτο, ειδικά δοθέντος ότι η Αρχή αναγνωρίζει, ως προελέχθη, πως δεν απαιτείται προηγούμενη άσκηση δικαιώματος προς την εταιρεία.
Δ. Ως προς το ζήτημα της αρχικής συλλογής των φωτογραφιών.
Η αρχή δεν εξετάζει ποτέ το ζήτημα της νομιμότητας στη συλλογή των φωτογραφιών, του περίφημου scraping. Πριν την εξαγωγή του βιομετρικού αποτυπώματος, η Clearview AI έχει συλλέξει και αποθηκεύσει εκατομμύρια φωτογραφίες ευρωπαίων πολιτών, άλλες από δικές τους δημόσιες αναρτήσεις σε μέσα κοινωνικής δικτύωσης και άλλες από ελεύθερα προσβάσιμους ιστοτόπους.
Η νομιμότητα της συλλογής και επεξεργασίας αυτής δεν φαίνεται να προβληματίζει την αρχή, καθώς από την ανάλυση και το διατακτικό, η παραβίαση του Γενικού Κανονισμού φαίνεται να εντοπίζεται μόνο στην επεξεργασία των βιομετρικών δεδομένων. Με τον τρόπο αυτό, η γερμανική αρχή φαίνεται να δέχεται ότι οποιοσδήποτε τρίτος μπορεί να συλλέγει ελεύθερα και να επεξεργάζεται κατά το δοκούν τις φωτογραφίες και τα προσωπικά δεδομένα των πολιτών, χωρίς η δραστηριότητά του αυτή να ελέγχεται ως προς τη νομιμότητά της.