Η Γαλλική Αρχή Προστασίας Δεδομένων διαπιστώνει πως η εταιρεία επεξεργάζεται δεδομένα χωρίς νομική βάση, ενώ παράλληλα δεν ικανοποιεί τα αιτήματα των υποκειμένων
Η Γαλλική Αρχή Προστασίας Δεδομένων (Commission nationale de l’informatique et des libertés – CNIL) δημοσίευσε την από 26 Νοεμβρίου 2021 απόφασή της επί των καταγγελιών που έλαβε σχετικά με τις πρακτικές της αμερικανικής εταιρείας CLEARVIEW AI.
Υπενθυμίζεται ότι η CLEARVIEW AI, οι δραστηριότητες της οποίας ελέγχονται και σε άλλες χώρες, έχει αναπτύξει και διαθέτει στην αγορά μια εφαρμογή αναζήτησης προσώπων μέσω φωτογραφιών. Ένα ιδιότυπο search engine φωτογραφιών, για τον σκοπό της ταυτοποίησης ενός προσώπου.
Για την παροχή της υπηρεσίας αυτής, η αμερικανική εταιρεία έχει συλλέξει δισεκατομμύρια φωτογραφίες – η CNIL εκτιμά πως αυτές ανέρχονται σε 10 δισεκατομμύρια – από δημόσια προσβάσιμες πηγές του διαδικτύου: Ιστοσελίδες επαγγελματικές, blogs, λογαριασμοί μέσων κοινωνικής δικτύωσης, μέσα ενημέρωσης, ακόμη και βίντεο που αναρτώνται στο YouTube. Από τις φωτογραφίες αυτές και κατόπιν εξαγωγής του βιομετρικού υποδείγματος του κάθε προσώπου, το λογισμικό της εταιρείας αρχειοθετεί τις συλλεγείσες φωτογραφίες, ανάλογα με το απεικονιζόμενο πρόσωπο. Με τον τρόπο αυτό, όταν ο πελάτης, που κατά την εταιρεία είναι μόνο διωκτικές αρχές, εισάγει στην εφαρμογή τη φωτογραφία του προσώπου που αναζητά, η εφαρμογή κάνει βιομετρική ταυτοποίηση και του εμφανίζει όλες τις εικόνες του προσώπου αυτού, μαζί με τον υπερσύνδεσμο στον οποίο αυτή έχει βρεθεί.
Η CNIL δέχθηκε καταγγελίες από Γάλλους πολίτες για τη μη ικανοποίηση των αιτημάτων πρόσβασης και διαγραφής που άσκησαν προς την CLEARVIEW AI, καθώς από την Privacy International για τις εν γένει πρακτικές της εταιρείας. Στο πλαίσιο διενέργειας ελέγχου των πρακτικών αυτών, η Γαλλική Αρχή απέστειλε ερωτηματολόγιο στην ελεγχόμενη εταιρεία, ενώ προσέφυγε και στη συνδρομή άλλων εποπτικών αρχών του ΓΚΠΔ.
Μετά την ολοκλήρωση της έρευνάς της, η CNIL εξέδωσε την από 26-11-2021 απόφασή της, σύμφωνα με την οποία η CLEARVIEW AI έχει παραβιάσει:
– το άρθρο 6 ΓΚΠΔ, καθώς συλλέγει και επεξεργάζεται προσωπικά δεδομένα χωρίς νόμιμη βάση,
– τα άρθρα 12, 15 και 17 ΓΚΠΔ, για τη μη αποτελεσματική ικανοποίηση αιτημάτων των υποκειμένων.
Για τους λόγους αυτούς, η Γαλλική Αρχή δίνει εντολή στην εταιρεία, όπως εντός 2 μηνών:
α. διακόψει τη συλλογή και επεξεργασία προσωπικών δεδομένων ατόμων που βρίσκονται στη Γαλλική επικράτεια και διαγράψει τα προσωπικά δεδομένα αυτών,
β. διευκολύνει την άσκηση των δικαιωμάτων των υποκειμένων των δεδομένων και ικανοποιήσει τα υποβληθέντα αιτήματα διαγραφής.
Ι. Η υπαγωγή των δραστηριοτήτων της CLEARVIEW AI στο εδαφικό πεδίο εφαρμογής του Γενικού Κανονισμού.
Το κύριο ζήτημα που απασχόλησε την CNIL είναι το εάν ο Γενικός Κανονισμός Προστασίας Δεδομένων εφαρμόζεται σε μια αμερικανική εταιρεία, η οποία δεν διατηρεί εγκατάσταση στην Ένωση και αρνείται ότι παρέχει οποιαδήποτε υπηρεσία σε υποκείμενα δεδομένων στην Ένωση. Υπό τα δεδομένα αυτά, η CNIL δεν είχε άλλη επιλογή από το να αναζητήσει την εφαρμογή του ΓΚΠΔ στην περ.β της παρ.2 του άρθρου 3: την παρακολούθηση της συμπεριφοράς των υποκειμένων.
Σύμφωνα με το άρθρο 3 παρ.2β’ ΓΚΠΔ:
2. Ο παρών κανονισμός εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα υποκειμένων των δεδομένων που βρίσκονται στην Ένωση από υπεύθυνο επεξεργασίας ή εκτελούντα την επεξεργασία μη εγκατεστημένο στην Ένωση, εάν οι δραστηριότητες επεξεργασίας σχετίζονται με:
β) την παρακολούθηση της συμπεριφοράς τους, στον βαθμό που η συμπεριφορά αυτή λαμβάνει χώρα εντός της Ένωσης.
ενώ η συναφής αιτιολογική 24 αναφέρει ότι:
(24) Η επεξεργασία δεδομένων προσωπικού χαρακτήρα προσώπων που βρίσκονται στην Ένωση από υπεύθυνο επεξεργασίας ή εκτελούντα την επεξεργασία μη εγκατεστημένο στην Ένωση θα πρέπει επίσης να διέπεται από τον παρόντα κανονισμό, εφόσον αφορά την παρακολούθηση της συμπεριφοράς των εν λόγω υποκειμένων των δεδομένων στον βαθμό που η συμπεριφορά τους λαμβάνει χώρα εντός της Ένωσης. Για τον καθορισμό του κατά πόσον μια δραστηριότητα επεξεργασίας μπορεί να θεωρηθεί ότι παρακολουθεί τη συμπεριφορά υποκειμένου των δεδομένων, θα πρέπει να εξακριβωθεί κατά πόσον φυσικά πρόσωπα παρακολουθούνται στο Διαδίκτυο, συμπεριλαμβανομένης της δυνητικής μετέπειτα χρήσης τεχνικών επεξεργασίας δεδομένων προσωπικού χαρακτήρα οι οποίες συνίστανται στη διαμόρφωση του «προφίλ» ενός φυσικού προσώπου, ιδίως με σκοπό να ληφθούν αποφάσεις που το αφορούν ή να αναλυθούν ή να προβλεφθούν οι προσωπικές προτιμήσεις, οι συμπεριφορές και οι νοοτροπίες του.
Η CNIL λαμβάνει υπόψιν της τις διευκρινίσεις των Κατευθυντηρίων 3/2018 ΕΣΠΔ, σύμφωνα με τις οποίες: «Σε αντίθεση με τη διάταξη του άρθρου 3 παράγραφος 2 στοιχείο α), ούτε το άρθρο 3 παράγραφος 2 στοιχείο β) ούτε η αιτιολογική σκέψη 24 θεσπίζει ρητώς απαιτούμενο βαθμό «πρόθεσης στόχευσης» εκ μέρους του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία προκειμένου να προσδιορίζεται αν η δραστηριότητα παρακολούθησης θα μπορούσε να ενεργοποιήσει την εφαρμογή του ΓΚΠΔ στις δραστηριότητες επεξεργασίας. Ωστόσο, με τη χρήση της λέξης «παρακολούθηση» υπονοείται ότι ο υπεύθυνος της επεξεργασίας έχει συγκεκριμένη πρόθεση κατά νου για τη συλλογή και τη μετέπειτα περαιτέρω χρήση των συναφών δεδομένων σχετικά με τη συμπεριφορά ενός προσώπου εντός της ΕΕ. Το ΕΣΠΔ δεν θεωρεί ότι κάθε διαδικτυακή συλλογή ή ανάλυση δεδομένων προσωπικού χαρακτήρα προσώπων στην ΕΕ λογίζεται αυτομάτως ως «παρακολούθηση». Είναι απαραίτητο να εξετάζεται ο σκοπός του υπευθύνου επεξεργασίας για την επεξεργασία των δεδομένων και, ειδικότερα, για κάθε μετέπειτα χρήση τεχνικών ανάλυσης συμπεριφοράς ή διαμόρφωσης προφίλ που περιλαμβάνουν τα εν λόγω δεδομένα. Το ΕΣΠΔ λαμβάνει υπόψη τη διατύπωση της αιτιολογικής σκέψης 24, στην οποία αναφέρεται ότι για τον καθορισμό του κατά πόσον η επεξεργασία μπορεί να θεωρηθεί ότι παρακολουθεί τη συμπεριφορά υποκειμένου των δεδομένων, βασική παράμετρο αποτελεί η παρακολούθηση φυσικών προσώπων στο διαδίκτυο, συμπεριλαμβανομένης της δυνητικής μετέπειτα χρήσης τεχνικών διαμόρφωσης προφίλ».
Η CNIL κάνει μια ιδιαίτερα διασταλτική ερμηνεία των διατυπώσεων της αιτιολογικής σκέψης 24, όσο και των σκέψεων του ΕΣΠΔ, για να καταλήξει ότι η επεξεργασία δεδομένων από την CLEARVIEW AI οδηγεί στη διαμόρφωση ενός συμπεριφορικού προφίλ του κάθε προσώπου. Το προφίλ αυτό που δημιουργείται και παρουσιάζεται στον χρήστη της εφαρμογής αποτελείται από φωτογραφίες, αλλά και από τις διευθύνσεις URL όπου αυτές έχουν εντοπιστεί. Με τον τρόπο αυτό, η σύνδεση που γίνεται μεταξύ φωτογραφίας και ιστοτόπου επιτρέπει τη συλλογή πληροφοριών για το πρόσωπο που απεικονίζεται, τις συνήθειες και τις προτιμήσεις του. Ειδικά δε, όταν η φωτογραφία συνδέεται με την προσωπική σελίδα σε μέσο κοινωνικής δικτύωσης ή με blog, ο χρήστης της εφαρμογής μπορεί να ταυτοποιήσει πλήρως το πρόσωπο και να αποκτήσει πρόσβαση σε οποιαδήποτε δημοσίευση του προσώπου αυτού. Περαιτέρω, η διαμόρφωση του προφίλ αυτού ενισχύεται από το γεγονός πως οι φωτογραφίες περιέχουν μεταδεδομένα, μεταξύ των οποίων και γεωγραφικού εντοπισμού.
Σύμφωνα με τη Γαλλική Αρχή, ένα τέτοιο αποτέλεσμα αναζήτησης επιτρέπει την αναγνώριση της συμπεριφοράς ενός προσώπου στο διαδίκτυο, δια της ανάλυσης της εικόνας που το πρόσωπο αυτό έχει επιλέξει να ανεβάσει, καθώς και του ευρύτερου πλαισίου της ανάρτησης. Τούτο διότι, το ανέβασμα φωτογραφιών μας στο διαδίκτυο αποτελεί από μόνο του μια εκδήλωση συμπεριφοράς μας, αφού αντικατοπτρίζει επιλογές μας ως προς το επίπεδο επιθυμητής έκθεσης της προσωπικής ή επαγγελματικής μας ζωής. Κατά συνέπεια, το αποτέλεσμα αναζήτησης μέσω μιας φωτογραφίας θα πρέπει να θεωρηθεί, τουλάχιστον εν μέρει, ως συμπεριφορικό προφίλ του υποκειμένου των δεδομένων, στο βαθμό που αυτό αποκαλύπτει πληροφορίες για το υποκείμενο και τη συμπεριφορά του. Ακόμη και αν ο σκοπός της επεξεργασίας των δεδομένων από την CLEARVIEW AI δεν είναι η παρακολούθηση της συμπεριφοράς, η βιομετρική ταυτοποίηση που γίνεται από την εταιρεία οδηγεί στη δημιουργία ενός τέτοιου προφίλ, με αποτέλεσμα η επεξεργασία αυτή να θεωρείται ως «σχετιζόμενη με την παρακολούθηση της συμπεριφοράς» των υποκειμένων.
Δευτερευόντως, η αυτοματοποιημένη επεξεργασία των δεδομένων για τη δημιουργία του συμπεριφορικού προφίλ και η διάθεση αυτού στους χρήστες της εφαρμογής πρέπει να θεωρηθεί ως «διαδικτυακή παρακολούθηση». Τούτο διότι, ο χρήστης μπορεί, εφόσον επαναλαμβάνει την αναζήτηση σε τακτά χρονικά διαστήματα, να πληροφορείται για τις νέες φωτογραφίες που έχουν προστεθεί, συνεπώς και για τις νέες εκδηλώσεις της συμπεριφοράς του προσώπου. Η ίδια δηλαδή η επικαιροποίηση της βάσης δεδομένων της εταιρείας, μέσω της συλλογής νέων φωτογραφιών, δίνει στον χρήστη τη δυνατότητα να παρακολουθεί διαδικτυακά τη ζωή ενός προσώπου.
Υπό τις παραδοχές αυτές, η CNIL καταλήγει πως η επεξεργασία δεδομένων από την CLEARVIEW AI σχετίζεται με την παρακολούθηση της συμπεριφοράς υποκειμένων, ως εκ τούτου εμπίπτει στο εδαφικό πεδίο εφαρμογής του Γενικού Κανονισμού Προστασίας Δεδομένων.
Παράλληλα, η CNIL διαπιστώνει την αρμοδιότητά της να επιληφθεί των καταγγελιών, δεδομένου πως η αμερικανική εταιρεία δεν διατηρεί εγκατάσταση στην Ένωση. Μη εφαρμοζομένου του μηχανισμού μιας στάσης, η κάθε Εποπτική Αρχή διατηρεί την αρμοδιότητα όπως εκτελέσει τα καθήκοντά της στο έδαφός της.
ΙΙ. Οι διαπιστωθείσες παραβάσεις: Η νομική βάση της επεξεργασίας
Η CNIL ζήτησε από την εταιρεία να υποδείξει τη νομική βάση, στην οποία θεμελιώνει την επεξεργασία δεδομένων, χωρίς όμως να πάρει απάντηση. Παράλληλα, όπως επισημαίνεται στην απόφαση, η απάντηση αυτή δεν δίνεται ούτε στην αναρτηθείσα Πολιτική Προστασίας.
Με σχετική ευκολία η Γαλλική Αρχή διαπιστώνει ότι μια τέτοια επεξεργασία θα μπορούσε να στηρίζεται είτε στη συγκατάθεση, ή στο έννομο συμφέρον του υπευθύνου επεξεργασίας. Αποκλειομένης προφανώς της πρώτης περίπτωσης, η CNIL εστιάζει στην διερεύνηση των κριτηρίων της νομικής βάσης του εννόμου συμφέροντος.
Διευκρινίζοντας μια πολύ δημοφιλή παρανόηση ως προς τη δημοσιότητα των προσωπικών δεδομένων, η CNIL υπενθυμίζει πως οι πληροφορίες που έχουν καταστεί δημόσιες δεν αποβάλλουν την ιδιότητα των προσωπικών δεδομένων, ούτε αποτελεί η δημοσιοποίησή τους αυτή κάποιου είδους άδεια για την εκ νέου επεξεργασία τους, ειδικά χωρίς τη γνώση των υποκειμένων. Προς τούτο, η Γαλλική Αρχή μνημονεύει τη Γνώμη 6/2014 της Ομάδας Εργασίας του Άρθρου 29, σύμφωνα με την οποία: «τα δεδομένα προσωπικού χαρακτήρα, ακόμη και εάν έχουν δημοσιοποιηθεί, εξακολουθούν να θεωρούνται δεδομένα προσωπικού χαρακτήρα, και, ως εκ τούτου, η επεξεργασία τους εξακολουθεί να προϋποθέτει κατάλληλες εγγυήσεις. […] Παρόλα αυτά, η δημοσιοποίηση των δεδομένων προσωπικού χαρακτήρα μπορεί να αποτελέσει παράμετρο της εκτίμησης, ιδίως εάν πραγματοποιήθηκε με την εύλογη προσδοκία περαιτέρω χρήσης των δεδομένων για συγκεκριμένους σκοπούς (π.χ. για σκοπούς έρευνας ή για σκοπούς που σχετίζονται με τη διαφάνεια και την υποχρέωση λογοδοσίας)».
Αποδεχόμενη πως τα έννομα συμφέροντα της εταιρείας συνίστανται στην εμπορική εκμετάλλευση της βάσης δεδομένων για την εκπλήρωση των οικονομικών της σκοπών, η CNIL κρίνει πως αυτά πρέπει να σταθμιστούν έναντι των δικαιωμάτων και ελευθεριών των υποκειμένων, λαμβανομένων υπόψιν των ως άνω ευλόγων προσδοκιών τους και της σχέσης τους με τον υπεύθυνο επεξεργασίας.
Με βάση τα κριτήρια αυτά, η Αρχή ουσιαστικά επιχειρεί να στοιχειοθετήσει τη διαφοροποίηση της CLEARVIEW AI από μια απλή μηχανή αναζήτησης. Σύμφωνα με την CNIL, μολονότι αυτός που ανεβάζει τη φωτογραφία του στο διαδίκτυο μπορεί να προσδοκά ευλόγως ότι αυτή θα εντοπιστεί από τρίτους, δεν θα μπορούσε ποτέ να φανταστεί ότι αυτή μπορεί να τύχει επεξεργασίας από ένα λογισμικό αναγνώρισης προσώπου. Άλλωστε, το λογισμικό αυτό δεν είναι δημόσιο, ενώ τα περισσότερα υποκείμενα δεν γνωρίζουν καν την ύπαρξή του.
Κατά ταύτα, η παραβίαση της ιδιωτικότητας των υποκειμένων πρέπει να θεωρηθεί δυσανάλογη των εννόμων συμφερόντων της εταιρείας, ήτοι των εμπορικών και οικονομικών σκοπών της, συνεπώς η νομική βάση του εννόμου συμφέροντος δεν μπορεί να γίνει εν προκειμένω αποδεκτή.
ΙΙΙ. Οι διαπιστωθείσες παραβάσεις: Η μη ικανοποίηση αιτημάτων των υποκειμένων.
Από τις καταγγελίες που δέχθηκε, η Αρχή διαπίστωσε την πλημμελή εκπλήρωση των υποχρεώσεων των άρθρων 12, 15 και 17 ΓΚΠΔ. Ειδικότερα, η εταιρεία:
– περιόριζε την χρονική έκταση της ικανοποίησης των δικαιωμάτων στους τελευταίους 12 μήνες πριν την υποβολή του αιτήματος,
– είχε καθορίσει δικαίωμα άσκησης δύο αιτημάτων ανά έτος, χωρίς αιτιολόγηση,
– δεν απαντούσε στα αιτήματα παρά μόνο μετά από επαναλαμβανόμενες οχλήσεις από τα υποκείμενα.
Η CNIL εκτίμησε πως η διαχείριση αυτή συνιστά παραβίαση των υποχρεώσεων που θέτει ο Γενικός Κανονισμός Προστασίας Δεδομένων στους υπευθύνους επεξεργασίας, ενώ διαπίστωσε ότι η υποχρέωσή της να προχωρά ειδικά στην ικανοποίηση των αιτημάτων διαγραφής είναι αυτονόητη.
Τούτο διότι εφόσον η επεξεργασία δεδομένων γίνεται χωρίς νομική βάση, αυτή είναι παράνομη. Αυτό σημαίνει ότι πληρούται αυτομάτως η περίπτωση δ΄ του άρθρου 17.1 ΓΚΠΔ, με βάση την οποία το υποκείμενο μπορεί να ζητήσει τη διαγραφή των προσωπικών δεδομένων του.