Η αρχή εξετάζει τη νομιμότητα της διαδικασίας digital on-boarding για την ταυτοποίηση υποψηφίων συνδρομητών με τη χρήση τεχνολογίας Τεχνητής Νοημοσύνης (ΑΠΔΠΧ 57/2022)
Ενώπιον της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα υποβλήθηκε καταγγελία για παράνομη και αδιαφανή συλλογή προσωπικών δεδομένων (φωτογραφίας προσώπου) από την εταιρεία Cosmote.
Σύμφωνα με την καταγγέλλουσα, κατά τον χρόνο σύναψης συμβολαίου και προς τον σκοπό της σύναψης αυτής, της προτάθηκε η επιλογή καταχώρησης των στοιχείων της μέσω της ηλεκτρονικής διεύθυνσης https://onboarding.cosmote.gr/ έτσι ώστε να είναι πιο εύκολη και σύντομη η διαδικασία πιστοποίησής της ως νέου πελάτη.
Με βάση της διαδικασία αυτή, της ζητήθηκε να φωτογραφίσει το πρόσωπό της επιτόπου, ώστε να καταχωρηθεί η φωτογραφία της, χωρίς να της έχει δοθεί προηγουμένως η δυνατότητα να ενημερωθεί για τη σχετική επεξεργασία.
Η καταγγέλλουσα ανέφερε ότι αρνήθηκε να προχωρήσει στη σχετική διαδικασία και επεσήμανε πως στο σχετικό κείμενο ενημέρωσης για τη συλλογή και επεξεργασία δεδομένων, στο οποίο ανέτρεξε, δεν αναφέρεται η φωτογραφία προσώπου στα είδη δεδομένων που συλλέγει και επεξεργάζεται η Cosmote, ούτε και ο σκοπός της σχετικής επεξεργασίας.
Οι ισχυρισμοί της καταγγελλόμενης
Η καταγγελλόμενη εταιρεία επιβεβαίωσε το ότι προτάθηκε η επιλογή της ταυτοποίησης και αποστολής των απαραίτητων δικαιολογητικών εγγράφων μέσω της πλατφόρμας https://onboarding.cosmote.gr και μέσω της διαδικασίας (“digital on-boarding”), όπως η τελευταία αναλυτικά παρουσιάστηκε με το απαντητικό έγγραφό της προς την Αρχή.
Αναφορικά με τη χρήση της φωτογραφίας του υποψήφιου συνδρομητή με σκοπό την ταυτοποίησή του, η καταγγελλόμενη εταιρεία επεσήμανε ότι παρεμβάλλεται ξεχωριστή οθόνη με την οποία ο χρήστης ενημερώνεται για το σκοπό επεξεργασίας των δεδομένων του, ο οποίος είναι η εξακρίβωση και επαλήθευση της ταυτότητας και ζητείται η συναίνεσή του με μη προεπιλεγμένο check-box. Κατά την καταγγελλόμενη, το ενημερωτικό κείμενο που συνοδεύει την επιλογή της συναίνεσης («κείμενο συγκατάθεσης») δίνει στον υποψήφιο συνδρομητή με συνοπτικό τρόπο τις απαραίτητες πληροφορίες. Σύμφωνα με τη σχετική εικόνα που προσκόμισε, δίπλα στο check-box της συγκατάθεσης εμφανιζόταν κείμενο, στο οποίο αναφερόταν ότι: «Η φωτογραφία θα χρησιμοποιηθεί για την εξακρίβωση και επαλήθευση της ταυτότητας. Περισσότερες πληροφορίες εδώ. Ενημερώθηκα και συναινώ στη χρήση των βιομετρικών δεδομένων μου, που αφορούν στην εικόνα του προσώπου μου με σκοπό την εξακρίβωση και επαλήθευση της ταυτότητας μου». Περαιτέρω, σύμφωνα με την καταγγελλόμενη, στο σημείο αυτό ο υποψήφιος συνδρομητής οδηγείτο σε αναλυτικότερο κείμενο αναφορικά με την χρήση δεδομένων, που προκύπτουν από την λήψη της φωτογραφίας σε πραγματικό χρόνο.
Σκοπός της ανωτέρω περιγραφόμενης επεξεργασίας είναι η ηλεκτρονική ταυτοποίηση των υποψήφιων συνδρομητών, νομική βάση είναι η συναίνεση των υποκειμένων, ενώ τα υποκείμενα των δεδομένων ενημερώνονται μέσω του συνοπτικού κειμένου της συναίνεσης στο σχετικό check-box, καθώς και αναλυτικότερα μέσω του κειμένου που είναι διαθέσιμο στον υπερσύνδεσμο. Τα εν λόγω κείμενα αποτελούν ειδικότερες ενημερώσεις αναφορικά με την επεξεργασία βιομετρικών δεδομένων των υποψήφιων συνδρομητών με σκοπό την συναίνεσή τους και εν τέλει την ασφαλή εξ αποστάσεως ταυτοποίησή τους.
Ακολούθως, με το υπόμνημα που υπέβαλε ενώπιον της Αρχής, η εταιρεία ανέφερε ότι αποφάσισε να λανσάρει τον Ιούνιο 2020 τη δυνατότητα “Digital onboarding”, η οποία αφορά την εξ αποστάσεως ηλεκτρονική ταυτοποίηση των υποψήφιων συνδρομητών της με σύγχρονο και ασφαλή τρόπο και με χρήση τεχνολογίας Τεχνητής Νοημοσύνης (Artificial Intelligence – AI) και ανάλυση βιομετρικών δεδομένων, η οποία προς το παρόν είναι διαθέσιμη στη σταθερή τηλεφωνία και μόνο για την εξυπηρέτηση αιτημάτων φορητότητας. Όπως ανέφεραν οι εκπρόσωποι της εταιρείας, πρόκειται για μια ψηφιακή διαδικασία που στοχεύει στη συντομότερη ικανοποίηση του αιτήματος ενός συνδρομητή να μεταφέρει τη σύνδεσή του στον ΟΤΕ, κατόπιν τηλεφωνικής επικοινωνίας. Η χρήση βιομετρικών μεθόδων γίνεται για να συγκριθεί αυτοματοποιημένα η φωτογραφία του αιτούντος σε πραγματικό χρόνο (selfie) με τη φωτογραφία του εγγράφου ταυτοποίησης, ενώ διατηρείται μόνο το αποτέλεσμα της σύγκρισης και όχι η φωτογραφία του αιτούντος.
Η απόφαση της Αρχής
Με βάση τα στοιχεία του φακέλου, η Αρχή Προστασίας Δεδομένων διαπίστωσε την παραβίαση των απαιτήσεων ενημέρωσης των άρθρων 5 παρ.1α’ και 13 ΓΚΠΔ, σε σχέση με την ενημέρωση των υποκειμένων για την επεξεργασία των βιομετρικών δεδομένων τους και της υποχρέωσης λογοδοσίας του άρθρου 5 παρ.2 ΓΚΠΔ σε σχέση με το ρόλο του εκτελούντος την επεξεργασία στην υπό κρίση επεξεργασίας.
Για τις παραβάσεις αυτές η αρχή απηύθυνε επίπληξη και έδωσε εντολή προς την εταιρεία να τροποποιήσει και να συμπληρώσει κατάλληλα το κείμενο ενημέρωσης των υποκειμένων, προς το σκοπό της πλήρους συμμόρφωσής της με την αρχή της διαφάνειας της επεξεργασίας (άρθρο 5 παρ. 1 α’ ΓΚΠΔ), ενημερώνοντας σχετικά την Αρχή.
Απόσπασμα της απόφασης
8. […] Η εταιρεία ΟΤΕ Α.Ε. υλοποίησε και έθεσε στη διάθεση των συνδρομητών της την υπηρεσία digital onboarding τον Ιούνιο του 2020. Σκοπός της υπηρεσίας είναι η ηλεκτρονική ταυτοποίηση των υποψήφιων συνδρομητών της και στην παρούσα φάση εξυπηρετούνται μέσω αυτής μόνο αιτήματα μεταφοράς σταθερής τηλεφωνίας. Για την ηλεκτρονική ταυτοποίηση του συνδρομητή γίνεται επεξεργασία βιομετρικών δεδομένων του, τα οποία προκύπτουν από τη φωτογραφία (real time selfie). Η επιβεβαίωση της αυθεντικότητας της φωτογραφίας και η αντιστοίχισή της με τη φωτογραφία του προσώπου του αιτούντος λαμβάνει χώρα αποκλειστικά αυτοματοποιημένα, με χρήση τεχνολογίας τεχνητής νοημοσύνης (ΑΙ). Νομική βάση για την κατά τα ανωτέρω επεξεργασία βιομετρικών δεδομένων είναι η συναίνεση του συνδρομητή, η οποία παρέχεται με την ανωτέρω περιγραφόμενη διαδικασία. Για την επεξεργασία βιομετρικών δεδομένων, σύμφωνα με το άρθρο 9 παρ. 2 α) ΓΚΠΔ θα πρέπει να εξασφαλίζεται σε κάθε περίπτωση η παροχή έγκυρης ρητής συγκατάθεσης, εν πλήρει επιγνώσει, κατόπιν πλήρους και ορθής ενημέρωσης και παρεχόμενη με αδιαμφισβήτητα μέσα. Από την εξέταση της υπόθεσης προέκυψε ότι κατά το χρόνο υποβολής της καταγγελίας και μέχρι την 19/11/2021, το γενικό κείμενο ενημέρωσης σχετικά με την επεξεργασία δεδομένων μέσω της ιστοσελίδας https://onboarding.cosmote.gr δεν περιλάμβανε πληροφορίες σχετικά με την επεξεργασία βιομετρικών δεδομένων. Η σχετική ενημέρωση των υποκειμένων παρεχόταν μέχρι τις 19/11/2021 μόνο μέσω υπερσυνδέσμου στο στάδιο ακριβώς πριν την παροχή της συναίνεσης του υποκειμένου. Με τον τρόπο αυτό η ενημέρωση ήταν ελλιπής, στο βαθμό που δεν ήταν εύκολα προσβάσιμη, όπως απαιτείται από το άρθρο 12 παρ. 1 ΓΚΠΔ, ενώ η γενική ενημέρωση για την επεξεργασία δεδομένων στην πλατφόρμα digital onboarding δεν ήταν πλήρης. […]
9. Στην ειδική ενημέρωση για την επεξεργασία βιομετρικών δεδομένων, η οποία πλέον, με αφορμή την καταγγελία, έχει προστεθεί στη γενική ενημέρωση της ιστοσελίδας (https://onboarding.cosmote.gr), αναφέρεται, μεταξύ άλλων, ότι υπεύθυνος επεξεργασίας είναι «η εταιρεία COSMOTE ή η εταιρεία ΟΤΕ». Η παρεχόμενη στα υποκείμενα, κατά το χρόνο της καταγγελίας, γενική ενημέρωση για την επεξεργασία προσωπικών δεδομένων μέσω της ιστοσελίδας https://onboarding.cosmote.gr, όπως επισυνάπτεται στην καταγγελία, ανέφερε ότι «Υπεύθυνος επεξεργασίας δεδομένων προσωπικού χαρακτήρα είναι η εταιρεία COSMOTE ΚΙΝΗΤΕΣ ΤΗΛΕΠΙΚΟΙΝΩΝΙΕΣ ΑΕ (“COSMOTE”), με έδρα το Μαρούσι Αττικής (Λεωφόρος Κηφισίας αρ.99) με τηλέφωνο επικοινωνίας 13888 για οικιακούς πελάτες ή 13818 για εταιρικούς πελάτες». Ωστόσο, σύμφωνα με το υπόμνημα της εταιρείας μετά την ακρόαση, η διαδικασία του digital onboarding αρχικά και μέχρι σήμερα, αφορά προς το παρόν μόνο τα αιτήματα φορητότητας γραμμών σταθερής τηλεφωνίας και επομένως υπεύθυνος επεξεργασίας είναι η ΟΤΕ Α.Ε. και όχι η Cosmote. Συνεπώς η ενημέρωση στο σημείο αυτό ως προς τον υπεύθυνο επεξεργασίας ήταν εσφαλμένη. Μετά την καταγγελία, ως υπεύθυνος επεξεργασίας αναφέρεται «η εταιρεία COSMOTE ή η εταιρεία ΟΤΕ». Δεδομένου ότι οι παρεχόμενες πληροφορίες πρέπει να είναι σαφείς και οριστικές, θα πρέπει στο σημείο αυτό να διευκρινίζεται ποια από τις ανωτέρω εταιρείες είναι υπεύθυνος επεξεργασίας σε κάθε περίπτωση.
Περαιτέρω, στην ειδική ενημέρωση για την επεξεργασία βιομετρικών δεδομένων που αρχικά παρεχόταν μόνο στο στάδιο πριν τη λήψη συγκατάθεσης και πλέον έχει συμπληρωθεί και στο γενικό κείμενο ενημέρωσης, αναφέρεται ότι «με τη χρήση της φωτογραφίας σε πραγματικό χρόνο παρέχεται η δυνατότητα μέσω τεχνολογιών όπως η εκμάθηση μηχανής (machine learning), η τεχνητή νοημοσύνη (ΑΙ) και τα βιομετρικά στοιχεία (biometrics), σε συνδυασμό με την ανθρώπινη κριτική να επαληθευτεί εάν το πρόσωπο που αιτείται μια συναλλαγή είναι όντως το ίδιο με το πρόσωπο που εμφανίζεται στο προσκομιζόμενο έγγραφο ταυτοποίησης (δελτίο αστυνομικής ταυτότητας ή διαβατήριο κτλ) παρέχοντας ασφάλεια στις συναλλαγές μας. […] Για την επιβεβαίωση των ελέγχων του αποτελέσματος με χρήση των παραπάνω τεχνολογιών, η COSMOTE και/ή ο ΟΤΕ δύναται επιπρόσθετα να αξιοποιήσει εξειδικευμένο εκπρόσωπο για τον έλεγχο των στοιχείων της ψηφιακής ανάλυσης και την τελική ταυτοποίηση». Όπως, όμως, εξήγησαν οι εκπρόσωποι της εταιρείας κατά την ακρόαση, αυτό δεν συμβαίνει σε σχέση με την επαλήθευση της ταυτότητας του προσώπου: η ανθρώπινη κριτική παρεμβαίνει μόνο σε σχέση με την εγκυρότητα των εγγράφων, ενώ η διαπίστωση της ταυτοπροσωπίας μέσω της ελεγχόμενης επεξεργασίας λαμβάνει χώρα εξ ολοκλήρου αυτοματοποιημένα. Κατά το σημείο αυτό η ενημέρωση είναι ασαφής και θα πρέπει να διορθωθεί προς αποφυγή παρερμηνείας.
[…] από την ακρόαση και τα προσκομισθέντα εκ μέρους της εταιρείας έγγραφα δεν προέκυψε ότι η εταιρεία IntelliSolutions είναι αποδέκτης των βιομετρικών δεδομένων, ενώ δεν κατέστη σαφές ποιες πράξεις επεξεργασίας (απλών προσωπικών δεδομένων) διενεργούνται από την εταιρεία αυτή για λογαριασμό του ΟΤΕ: Με το υπ’ αρ. πρωτ. Γ/ΕΙΣ/6066/15-04-2022 έγγραφο του ΟΤΕ προσκομίστηκε ένα συμφωνητικό επεξεργασίας προσωπικών δεδομένων με τίτλο Agreement on Processing of Personal Data on Behalf of a Controller, μεταξύ της ΟΤΕ ΑΕ και της εταιρείας IntelliSolutions Information Services S.A., η οποία όμως δεν περιλαμβάνει την επεξεργασία βιομετρικών δεδομένων, αλλά μόνο υπηρεσίες τεχνικής υποστήριξης και υλοποίησης αλλαγών στην πλατφόρμα Digital Onboarding, αναφέροντας παράλληλα ότι η επεξεργασία λαμβάνει χώρα στις εγκαταστάσεις του υπευθύνου επεξεργασίας. Όπως υποστήριξε στη συνέχεια η εταιρεία με το υπόμνημά της, «εκτιμήθηκε ότι δεν ανατίθεται επεξεργασία βιομετρικών δεδομένων στην IntelliSolutions και για το λόγο αυτό τα βιομετρικά δεδομένα δεν συμπεριλήφθησαν στο σχετικό παράρτημα της σύμβασης», σημειώνοντας ότι επανεξετάζει το εν λόγω συμβατικό κείμενο. Θα πρέπει να επισημανθεί, ότι σύμφωνα με τη θεμελιώδη αρχή της λογοδοσίας (άρθρο 5 παρ. 2 ΓΚΠΔ), ο υπεύθυνος επεξεργασίας όφειλε να γνωρίζει τον ακριβή ρόλο των εμπλεκόμενων μερών και να είναι σε θέση να τεκμηριώσει τη νομιμότητα των ενεργειών που έχουν αναλάβει να πραγματοποιούν, πριν την έναρξη της επεξεργασίας. Για το λόγο αυτό διαπιστώνεται εκ μέρους της καταγγελλόμενης εταιρείας παράβαση της αρχής της λογοδοσίας όσον αφορά το ρόλο της τρίτης εταιρείας IntelliSolutions Information Services S.A., ενώ, προς το σκοπό της συμμόρφωσης με τις επιταγές του ΓΚΠΔ, θα πρέπει να διευκρινιστεί από τον υπεύθυνο επεξεργασίας, εάν η εν λόγω τρίτη εταιρεία εκτελεί επεξεργασία βιομετρικών δεδομένων για λογαριασμό του και, εφόσον χρειάζεται, να τροποποιηθεί κατάλληλα το κείμενο της μεταξύ τους σύμβασης ή/και το κείμενο ενημέρωσης των υποκειμένων.